A. Datenschutzerklärung
Mit dieser Datenschutzerklärung informieren wir, welche Personendaten wir im Zusammenhang mit unseren Aktivitäten und Tätigkeiten einschliesslich unserer docuteam.ch-Website bearbeiten. Wir informieren insbesondere, wofür, wie und wo wir welche Personendaten bearbeiten. Wir informieren ausserdem über die Rechte von Personen, deren Daten wir bearbeiten.
Für einzelne oder zusätzliche Aktivitäten und Tätigkeiten können weitere Datenschutzerklärungen sowie sonstige rechtliche Dokumente wie Allgemeine Geschäftsbedingungen (AGB), Nutzungsbedingungen oder Teilnahmebedingungen gelten.
Wir unterliegen dem schweizerischen Datenschutzrecht sowie allenfalls anwendbarem ausländischem Datenschutzrecht wie insbesondere jenem der Europäischen Union (EU) mit der Datenschutz-Grundverordnung (DSGVO). Die Europäische Kommission anerkennt, dass das schweizerische Datenschutzrecht einen angemessenen Datenschutz gewährleistet.
1. Kontaktadressen
Verantwortung für die Bearbeitung von Personendaten:
- docuteam AG
Im Langacker 16, CH-5405 Baden
info@docuteam.ch
Wir weisen darauf hin, wenn es im Einzelfall andere Verantwortliche für die Bearbeitung von Personendaten gibt.
1.1 Datenschutzbeauftragter
Wir verfügen über nachfolgenden Datenschutzbeauftragten als Anlaufstelle für betroffene Personen und als Ansprechpartner für Aufsichtsbehörden bei datenschutzrechtlichen Anfragen:
- Andreas Steigmeier
c/o docuteam AG, Im Langacker 16, CH-5405 Baden
a.steigmeier@docuteam.ch
1.2 Datenschutz-Vertretung im Europäischen Wirtschaftsraum (EWR)
Wir verfügen über nachfolgende Datenschutz-Vertretung gemäss Art. 27 DSGVO. Die Datenschutz-Vertretung dient Aufsichtsbehörden und betroffenen Personen in der Europäischen Union (EU) und im übrigen Europäischen Wirtschaftsraum (EWR) als zusätzliche Anlaufstelle für Anfragen im Zusammenhang mit der Datenschutz-Grundverordnung (DSGVO):
- VGS Datenschutzpartner GmbH
Am Kaiserkai 69
20457 Hamburg
Deutschland
info@datenschutzpartner.eu
2. Begriffe und Rechtsgrundlagen
2.1 Begriffe
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Eine betroffene Person ist eine Person, über die Personendaten bearbeitet werden.
Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Aufbewahren, Bekanntgeben, Beschaffen, Erheben, Löschen, Speichern, Verändern, Vernichten und Verwenden von Personendaten.
Der Europäische Wirtschaftsraum (EWR) umfasst die Mitgliedstaaten der Europäischen Union (EU) sowie das Fürstentum Liechtenstein, Island und Norwegen. Die Datenschutz-Grundverordnung (DSGVO) bezeichnet die Bearbeitung von Personendaten als Verarbeitung von personenbezogenen Daten.
2.2 Rechtsgrundlagen
Wir bearbeiten Personendaten im Einklang mit dem schweizerischen Datenschutzrecht wie insbesondere dem Bundesgesetz über den Datenschutz (DSG) und der Verordnung zum Bundesgesetz über den Datenschutz (VDSG).
Wir bearbeiten – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – Personendaten gemäss mindestens einer der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung vorvertraglicher Massnahmen.
- Art. 6 Abs. 1 lit. f DSGVO für die erforderliche Bearbeitung von Personendaten, um die berechtigten Interessen von uns oder von Dritten zu wahren, sofern nicht die Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere unser Interesse, unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben sowie darüber kommunizieren zu können, die Gewährleistung der Informationssicherheit, der Schutz vor Missbrauch, die Durchsetzung von eigenen rechtlichen Ansprüchen und die Einhaltung von schweizerischem Recht.
- Art. 6 Abs. 1 lit. c DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung einer rechtlichen Verpflichtung, der wir gemäss allenfalls anwendbarem Recht von Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) unterliegen.
- Art. 6 Abs. 1 lit. e DSGVO für die erforderliche Bearbeitung von Personendaten zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt.
- Art. 6 Abs. 1 lit. a DSGVO für die Bearbeitung von Personendaten mit Einwilligung der betroffenen Person.
- Art. 6 Abs. 1 lit. d DSGVO für die erforderliche Bearbeitung von Personendaten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
3. Art, Umfang und Zweck
Wir bearbeiten jene Personendaten, die erforderlich sind, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Solche Personendaten können insbesondere in die Kategorien von Bestandes- und Kontaktdaten, Browser- und Gerätedaten, Inhaltsdaten, Meta- bzw. Randdaten und Nutzungsdaten, Standortdaten, Verkaufsdaten sowie Vertrags- und Zahlungsdaten fallen.
Wir bearbeiten Personendaten während jener Dauer, die für den jeweiligen Zweck bzw. die jeweiligen Zwecke oder gesetzlich erforderlich ist. Personendaten, deren Bearbeitung nicht mehr erforderlich ist, werden anonymisiert oder gelöscht.
Wir können Personendaten durch Dritte bearbeiten lassen. Wir können Personendaten gemeinsam mit Dritten bearbeiten oder an Dritte übermitteln. Bei solchen Dritten handelt es sich insbesondere um spezialisierte Anbieter, deren Leistungen wir in Anspruch nehmen. Wir gewährleisten auch bei solchen Dritten den Datenschutz.
Wir bearbeiten Personendaten nur nach Einwilligung der betroffenen Person, es sei denn, die Bearbeitung ist aus anderen rechtlichen Gründen zulässig. Die Bearbeitung ohne Einwilligung kann beispielsweise zulässig sein zur Erfüllung eines Vertrages mit der betroffenen Person und für entsprechende vorvertragliche Massnahmen, um unsere überwiegenden berechtigten Interessen zu wahren, weil die Bearbeitung aus den Umständen ersichtlich ist oder nach vorgängiger Information.
In diesem Rahmen bearbeiten wir insbesondere Angaben, die eine betroffene Person bei der Kontaktaufnahme – beispielsweise per Briefpost, E-Mail, Instant Messaging, Kontaktformular, Social Media oder Telefon – oder bei der Registrierung für ein Nutzerkonto freiwillig an uns übermittelt. Wir können solche Angaben beispielsweise in einem Adressbuch, in einem Customer-Relationship-Management-System (CRM-System) oder mit vergleichbaren Hilfsmitteln speichern. Wenn wir Daten über andere Personen übermittelt erhalten, sind die übermittelnden Personen verpflichtet, den Datenschutz gegenüber diesen Personen zu gewährleisten sowie die Richtigkeit dieser Personendaten sicherzustellen.
Wir bearbeiten ausserdem Personendaten, die wir von Dritten erhalten, aus öffentlich zugänglichen Quellen beschaffen oder bei der Ausübung unserer Aktivitäten und Tätigkeiten erheben, sofern und soweit eine solche Bearbeitung aus rechtlichen Gründen zulässig ist.
4. Personendaten im Ausland
Wir bearbeiten Personendaten grundsätzlich in der Schweiz und im Europäischen Wirtschaftsraum (EWR). Wir können Personendaten aber auch in andere Staaten exportieren bzw. übermitteln, insbesondere um sie dort zu bearbeiten oder bearbeiten zu lassen.
Wir können Personendaten in alle Staaten und Territorien auf der Erde sowie anderswo im Universum exportieren, sofern das dortige Recht nach Einschätzung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) oder gemäss Beschluss des Schweizerischen Bundesrates einen angemessenen Datenschutz sowie – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemäss Beschluss der Europäischen Kommission einen angemessenen Datenschutz gewährleistet.
Wir können Personendaten in Staaten, deren Recht keinen angemessenen Datenschutz gewährleistet, übermitteln, sofern der Datenschutz aus anderen Gründen gewährleistet ist, insbesondere auf Grundlage von Standarddatenschutzklauseln oder mit anderen geeigneten Garantien. Ausnahmsweise können wir Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz exportieren, wenn dafür die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind, beispielsweise die ausdrückliche Einwilligung der betroffenen Personen oder ein unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages. Wir geben betroffenen Personen auf Nachfrage gerne Auskunft über allfällige Garantien oder liefern eine Kopie von Garantien.
5. Rechte von betroffenen Personen
Betroffene Personen, über die wir Personendaten bearbeiten, verfügen über die Rechte gemäss schweizerischem Datenschutzrecht. Dazu zählen das Recht auf Auskunft sowie das Recht auf Berichtigung, Löschung oder Sperrung der bearbeiteten Personendaten.
Betroffene Personen, deren Personendaten wir bearbeiten, können – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – unentgeltlich eine Bestätigung verlangen, ob wir sie betreffende Personendaten bearbeiten. In diesem Fall können betroffene Personen Auskunft über die Bearbeitung ihrer Personendaten verlangen, die Bearbeitung ihrer Personendaten einschränken lassen, ihr Recht auf Datenübertragbarkeit wahrnehmen sowie ihre Personendaten berichtigen, löschen («Recht auf Vergessen»), sperren oder vervollständigen lassen.
Betroffene Personen, deren Personendaten wir bearbeiten, können – sofern und soweit die DSGVO anwendbar ist – eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen und jederzeit Widerspruch gegen die Bearbeitung ihrer Personendaten erheben.
Betroffene Personen, über die wir Personendaten bearbeiten, verfügen über ein Beschwerderecht bei einer zuständigen Aufsichtsbehörde. Aufsichtsbehörde für den Datenschutz in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
6. Datensicherheit
Wir treffen geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Wir können aber keine absolute Datensicherheit gewährleisten.
Der Zugriff auf unsere Website erfolgt mittels Transportverschlüsselung (SSL / TLS, insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen Transportverschlüsselung mit einem Vorhängeschloss in der Adressleiste.
Unsere digitale Kommunikation unterliegt – wie grundsätzlich jede digitale Kommunikation – der Massenüberwachung ohne Anlass und Verdacht sowie sonstiger Überwachung durch Sicherheitsbehörden in der Schweiz, im übrigen Europa, in den Vereinigten Staaten von Amerika (USA) und in anderen Staaten. Wir können keinen direkten Einfluss auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden nehmen.
7. Nutzung der Website
7.1 Cookies
Wir können Cookies verwenden. Bei Cookies – eigenen Cookies (First-Party-Cookies) als auch Cookies von Dritten, deren Dienste wir nutzen (Third-Party-Cookies) – handelt es sich um Daten, die im Browser gespeichert werden. Solche gespeicherten Daten müssen nicht auf traditionelle Cookies in Textform beschränkt sein.
Cookies können im Browser temporär als «Session Cookies» oder für einen bestimmten Zeitraum als sogenannte permanente Cookies gespeichert werden. «Session Cookies» werden automatisch gelöscht, wenn der Browser geschlossen wird. Permanente Cookies haben eine bestimmte Speicherdauer. Cookies ermöglichen insbesondere, einen Browser beim nächsten Besuch unserer Website wiederzuerkennen und dadurch beispielsweise die Reichweite unserer Website zu messen. Permanente Cookies können aber beispielsweise auch für Online-Marketing verwendet werden.
Cookies können in den Browser-Einstellungen jederzeit ganz oder teilweise deaktiviert sowie gelöscht werden. Ohne Cookies steht unsere Website allenfalls nicht mehr in vollem Umfang zur Verfügung. Wir ersuchen – mindestens sofern und soweit erforderlich – aktiv um die ausdrückliche Einwilligung in die Verwendung von Cookies.
Bei Cookies, die für die Erfolgs- und Reichweitenmessung oder für Werbung verwendet werden, ist für zahlreiche Dienste ein allgemeiner Widerspruch («Opt-out») über die AdChoices (Digital Advertising Alliance of Canada), die Network Advertising Initiative (NAI), YourAdChoices (Digital Advertising Alliance) oder Your Online Choices (European Interactive Digital Advertising Alliance, EDAA) möglich.
7.2 Server-Logdateien
Wir können für jeden Zugriff auf unsere Website nachfolgende Angaben erfassen, sofern diese von Ihrem Browser an unsere Server-Infrastruktur übermittelt werden oder von unserem Webserver ermittelt werden können: Datum und Zeit einschliesslich Zeitzone, Internet Protocol (IP)-Adresse, Zugriffsstatus (HTTP-Statuscode), Betriebssystem einschliesslich Benutzeroberfläche und Version, Browser einschliesslich Sprache und Version, aufgerufene einzelne Unter-Seite unserer Website einschliesslich übertragener Datenmenge, zuletzt im gleichen Browser-Fenster aufgerufene Webseite (Referer bzw. Referrer).
Wir speichern solche Angaben, die auch Personendaten darstellen können, in Server-Logdateien. Die Angaben sind erforderlich, um unsere Website dauerhaft, nutzerfreundlich und zuverlässig bereitstellen sowie um die Datensicherheit und damit insbesondere den Schutz von Personendaten sicherstellen zu können – auch durch Dritte oder mit Hilfe von Dritten.
7.3 Zählpixel
Wir können Zählpixel auf unserer Website verwenden. Zählpixel werden auch als Web-Beacons bezeichnet. Bei Zählpixeln – auch von Dritten, deren Dienste wir nutzen – handelt es sich um kleine, üblicherweise nicht sichtbare Bilder, die beim Besuch unserer Website automatisch abgerufen werden. Mit Zählpixeln können die gleichen Angaben wie in Server-Logdateien erfasst werden.
8. Social Media
Wir sind auf Social Media-Plattformen und anderen Online-Plattformen präsent, um mit interessierten Personen kommunizieren sowie über unsere Aktivitäten und Tätigkeiten informieren zu können. Im Zusammenhang mit solchen Plattformen können Personendaten auch ausserhalb der Schweiz und des Europäischen Wirtschaftsraumes (EWR) bearbeitet werden.
Es gelten jeweils auch die Allgemeinen Geschäftsbedingungen (AGB) und Nutzungsbedingungen sowie Datenschutzerklärungen und sonstigen Bestimmungen der einzelnen Betreiber solcher Plattformen. Diese Bestimmungen informieren insbesondere über die Rechte von betroffenen Personen direkt gegenüber der jeweiligen Plattform, wozu beispielsweise das Recht auf Auskunft zählt.
9. Dienste von Dritten
Wir nutzen Dienste von spezialisierten Dritten, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Mit solchen Diensten können wir unter anderem Funktionen und Inhalte in unsere Website einbetten. Bei einer solchen Einbettung erfassen die genutzten Dienste aus technisch zwingenden Gründen mindestens zeitweilig die Internet Protocol (IP)-Adressen der Nutzerinnen und Nutzer.
Für erforderliche sicherheitsrelevante, statistische und technische Zwecke können Dritte, deren Dienste wir nutzen, Daten im Zusammenhang mit unseren Aktivitäten und Tätigkeiten aggregiert, anonymisiert oder pseudonymisiert bearbeiten. Es handelt sich beispielsweise um Leistungs- oder Nutzungsdaten, um den jeweiligen Dienst anbieten zu können.
Wir nutzen insbesondere:
- Dienste von Google: Anbieterinnen: Google LLC (USA) / Google Ireland Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz; Allgemeine Angaben zum Datenschutz: «Grundsätze zu Datenschutz und Sicherheit», Datenschutzerklärung, «Google ist der Einhaltung der anwendbaren Datenschutzgesetze verpflichtet», «Leitfaden zum Datenschutz in Google-Produkten», «Wie wir Daten von Websites oder Apps verwenden, auf bzw. in denen unsere Dienste genutzt werden» (Angaben von Google), «Von Google verwendete Cookie-Arten und sonstige Technologien», «Personalisierte Werbung» (Aktivierung / Deaktivierung / Einstellungen).
- Dienste von Microsoft: Anbieterinnen: Microsoft Corporation (USA) / Microsoft Ireland Operations Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR), in Grossbritannien und in der Schweiz; Allgemeine Angaben zum Datenschutz: «Datenschutz bei Microsoft», «Datenschutz (Trust Center)», Datenschutzerklärung.
9.1 Digitale Infrastruktur
Wir nutzen Dienste von spezialisierten Dritten, um benötigte digitale Infrastruktur im Zusammenhang mit unseren Aktivitäten und Tätigkeiten in Anspruch nehmen zu können. Dazu zählen beispielsweise Hosting- und Speicherdienste von ausgewählten Anbietern.
Wir nutzen insbesondere:
- ALL-INKL.COM: Hosting; Anbieterin: ALL-INKL.COM – Neue Medien Münnich (Deutschland); Angaben zum Datenschutz: Datenschutzerklärung, «Rechenzentrum / Serverstandort Deutschland».
- WordPress.com: Blog-Hosting und Website-Baukasten; Anbieterinnen: Automattic Inc. (USA) / Aut O’Mattic A8C Ireland Ltd. (Irland) für Nutzerinnen und Nutzer unter anderem in Europa; Angaben zum Datenschutz: Datenschutzerklärung, Cookie-Richtlinie.
9.2 Audio- und Video-Konferenzen
Wir nutzen spezialisierte Dienste für Audio- und Video-Konferenzen, um online kommunizieren zu können. Wir können damit beispielsweise virtuelle Besprechungen abhalten oder Online-Unterricht und Webinare durchführen. Für die Teilnahme an Audio- und Video-Konferenzen gelten ergänzend die Rechtstexte der einzelnen Dienste wie Datenschutzerklärungen und Nutzungsbedingungen.
Wir empfehlen, je nach Lebenssituation bei der Teilnahme an Audio- oder Video-Konferenzen das Mikrofon standardmässig stumm zu schalten sowie den Hintergrund unscharf zu stellen oder einen virtuellen Hintergrund einblenden zu lassen.
Wir nutzen insbesondere:
- Microsoft Teams: Plattform unter anderem für Audio- und Video-Konferenzen; Anbieterin: Microsoft; Teams-spezifische Angaben: «Datenschutz und Microsoft Teams».
9.3 Kartenmaterial
Wir nutzen Dienste von Dritten, um Karten in unsere Website einbetten zu können.
Wir nutzen insbesondere:
- Google Maps einschliesslich Google Maps Platform: Kartendienst; Anbieterin: Google; Google Maps-spezifische Angaben: «Wie Google Standortinformationen verwendet».
9.4 Digitale Audio- und Video-Inhalte
Wir nutzen Dienste von spezialisierten Dritten, um das direkte Abspielen von digitalen Audio- und Video-Inhalten wie beispielsweise Musik oder Podcasts zu ermöglichen.
Wir nutzen insbesondere:
- YouTube: Video-Plattform; Anbieterin: Google; YouTube-spezifische Angaben: «Datenschutz- und Sicherheitscenter», «Meine Daten auf YouTube».
9.5 Schriftarten
Wir nutzen Dienste von Dritten, um ausgewählte Schriftarten sowie Icons, Logos und Symbole in unsere Website einbetten zu können.
Wir nutzen insbesondere:
- Font Awesome: Icons und Logos; Anbieterin: Fonticons Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung.
- Google Fonts: Schriftarten; Anbieterin: Google; Google Fonts-spezifische Angaben: «Datenschutz und Google Fonts» («Privacy and Google Fonts»), «Datenschutz und Datenerfassung».
10. Erweiterungen für die Website
Wir verwenden Erweiterungen für unsere Website, um zusätzliche Funktionen nutzen zu können.
Wir verwenden insbesondere:
- Google reCAPTCHA: Spamschutz (Unterscheidung zwischen erwünschten Kommentaren von Menschen und unerwünschten Kommentaren von Bots sowie Spam); Anbieterin: Google; Google reCAPTCHA-spezifische Angaben: «Was ist reCAPTCHA?» («What is reCAPTCHA?»).
11. Erfolgs- und Reichweitenmessung
Wir nutzen Dienste und Programme, um zu ermitteln, wie unser Online-Angebot genutzt wird. In diesem Rahmen können wir beispielsweise den Erfolg und die Reichweite unserer Aktivitäten und Tätigkeiten sowie die Wirkung von Verlinkungen Dritter auf unsere Website messen. Wir können aber beispielsweise auch ausprobieren und vergleichen, wie unterschiedliche Versionen unseres Online-Angebotes oder Teile unseres Online-Angebotes genutzt werden («A/B-Test»-Methode). Aufgrund der Ergebnisse der Erfolgs- und Reichweitenmessung können wir insbesondere Fehler beheben, beliebte Inhalte stärken oder Verbesserungen an unserem Online-Angebot vornehmen.
Bei der Verwendung von Diensten und Programmen für die Erfolgs- und Reichweitenmessung müssen die Internet Protocol (IP)-Adressen von einzelnen Nutzerinnen und Nutzern gespeichert werden. IP-Adressen werden grundsätzlich gekürzt («IP-Masking»), um durch die entsprechende Pseudonymisierung dem Grundsatz der Datensparsamkeit zu folgen und damit den Datenschutz der Nutzerinnen und Nutzer zu verbessern.
Bei der Verwendung von Diensten und Programmen für die Erfolgs- und Reichweitenmessung können Cookies zum Einsatz kommen und Nutzerprofile erstellt werden. Nutzerprofile umfassen beispielsweise die besuchten Seiten oder betrachteten Inhalte auf unserer Website, Angaben zur Grösse von Bildschirm oder Browser-Fenster und den – zumindest ungefähren – Standort. Grundsätzlich werden Nutzerprofile ausschliesslich pseudonymisiert erstellt. Wir verwenden Nutzerprofile nicht für die Identifizierung einzelner Nutzerinnen und Nutzer. Einzelne Dienste von Dritten, bei denen Nutzerinnen oder Nutzer angemeldet sind, können die Nutzung unseres Online-Angebotes allenfalls dem Nutzerkonto oder Nutzerprofil beim jeweiligen Dienst zuordnen.
Wir nutzen insbesondere:
- Google Analytics: Erfolgs- und Reichweitenmessung; Anbieterin: Google; Google Analytics-spezifische Angaben: Messung auch über verschiedene Browser und Geräte hinweg (Cross-Device Tracking) sowie mit pseudonymisierten Internet Protocol (IP)-Adressen, die nur ausnahmsweise vollständig an Google in den USA übertragen werden, «Datenschutz», «Browser Add-on zur Deaktivierung von Google Analytics».
12. Schlussbestimmungen
Wir haben diese Datenschutzerklärung mit dem Datenschutz-Generator von Datenschutzpartner erstellt.
Wir können diese Datenschutzerklärung jederzeit anpassen und ergänzen. Wir werden über solche Anpassungen und Ergänzungen in geeigneter Form informieren, insbesondere durch Veröffentlichung der jeweils aktuellen Datenschutzerklärung auf unserer Website.
B. Vertrag zur Auftragsdatenverarbeitung
1. Vertragsgegenstand
Mit der Auftragserteilung schliesst der Adressat dieses Angebots (nachfolgend «Kunde» genannt) mit der docuteam AG einen Vertrag zur Auftragsdatenverarbeitung, der alle vom Kunden akzeptierten Teile des Angebots betrifft.
2. Zweck und Ort der Datenbearbeitung
Der Zweck der Datenbearbeitung und die Art der Daten sind im Angebot genannt. docuteam bearbeitet die Daten physisch entweder beim Kunden oder in seinen eigenen Lokalitäten in der Schweiz. Digitale Verzeichnisse bearbeitet docuteam auf der eigenen Informatikinfrastruktur oder beim Unterauftragnehmer SWITCH in Schweizer Rechenzentren (siehe Ziff. 6).
3. Technisch-organisatorische Massnahmen
docuteam stellt durch geeignete Massnahmen die Vertraulichkeit, Integrität und Verfügbarkeit der Daten sicher. Diese Massnahmen umfassen unter anderem:
- Zugangsbeschränkungen zu physischen Unterlagen und Servern
- Verzeichnisdaten auf Servern und Software, die regelmässig gewartet werden
- Verpflichtung und Sensibilisierung des Personals auf Geheimhaltung
4. Berichtigung, Einschränkung und Löschung von Daten
Richten betroffene Personen Auskunfts-, Berichtigungs- oder Löschbegehren direkt an docuteam, dann wird docuteam diese an den Kunden weiterleiten. docuteam wird den Kunden, wenn nötig, bei der Beantwortung solcher Begehren betroffener Personen unterstützen und darauf hinweisen, dass die Berichtigung, Löschung und Vernichtung gemäss Art. 89 DSGVO resp. Art. 41 Abs. 5 des revidierten DSG in Archiven nicht verlangt werden kann. docuteam ist berechtigt, den dafür erforderlichen Aufwand in Rechnung zu stellen. docuteam nimmt selbst keine Änderungen an Personendaten vor. Die Berichtigung von Daten ist ein Prozess, der in der Verantwortung des Kunden liegt.
5. Qualitätssicherung und sonstige Pflichten von docuteam
docuteam hat zusätzlich zur Einhaltung dieses Auftrags gesetzliche Pflichten gemäss Art. 10a und Art. 11a DSG bzw. Art. 28–33 DSGVO und gewährleistet insbesondere die Einhaltung folgender Vorgaben:
- docuteam ist gemäss den anwendbaren gesetzlichen Vorgaben nicht zur Bestellung eines Datenschutzberaters bzw. Datenschutzbeauftragten verpflichtet. Ansprechpartner des Kunden für datenschutzrechtliche Fragen bei docuteam ist der/die jeweils auf der Website von docuteam bekanntgegebene Geschäftsführer/in.
- docuteam verpflichtet sich, sämtliche vertraulichen Informationen, Unterlagen, etc., die sie im Rahmen des Abschlusses und der Abwicklung der Leistungsvereinbarung erhält oder sonstwie wahrnimmt, geheim zu halten und Dritten weder direkt noch indirekt zugänglich zu machen. Diese Verpflichtung gilt unbeschränkt, auch nach Erfüllung des Auftrags.
- Der Kunde und docuteam arbeiten auf Anfrage mit der jeweils zuständigen Datenschutzaufsichtsbehörde bei der Erfüllung ihrer Aufgaben zusammen.
- docuteam informiert den Kunden unverzüglich über Kontrollhandlungen und Massnahmen der zuständigen Datenschutzaufsichtsbehörde, soweit sie sich auf diesen Auftrag beziehen. Dies gilt auch, soweit eine zuständige Behörde im Rahmen eines Rechtsverfahrens in Bezug auf die Bearbeitung von Personendaten bei der Auftragsbearbeitung bei docuteam ermittelt.
- Soweit der Kunde seinerseits einer Kontrolle der zuständigen Datenschutzaufsichtsbehörde, einem Rechtsverfahren, dem Haftungsanspruch einer betroffenen Person oder eines Dritten oder einem anderen Anspruch im Zusammenhang mit der Auftragsbearbeitung bei docuteam ausgesetzt ist, hat ihn docuteam nach besten Kräften zu unterstützen.
- docuteam kontrolliert regelmässig die internen Prozesse sowie die technischen und organisatorischen Massnahmen, um zu gewährleisten, dass die Bearbeitung in ihrem Verantwortungsbereich im Einklang mit den Anforderungen des geltenden Datenschutzrechts erfolgt und der Schutz der Rechte der betroffenen Person gewährleistet wird.
- docuteam sorgt für Nachweisbarkeit der getroffenen technischen und organisatorischen Massnahmen gegenüber dem Kunden im Rahmen seiner Kontrollrechte.
- docuteam verpflichtet sich, den Kunden angemessen bei der Erfüllung der Betroffenenrechte und dem etwaigen Recht auf Datenportabilität zu unterstützen.
6. Unterauftragsverhältnisse
docuteam benützt für die Erfassung und Bereitstellung von Verzeichnisdaten die Dienstleistungen von SWITCH als Unterauftragnehmerin. SWITCH untersteht als privatrechtliche Stiftung grundsätzlich den Bestimmungen des Bundesgesetzes über den Datenschutz (DSG, SR 235.1). SWITCH verpflichtet sich, die auf sie anwendbaren Datenschutzgrundsätze bei der Bearbeitung von Personendaten der Vertragspartner und deren Endbenutzer einzuhalten.
7. Kontrollrechte des Kunden und der zuständigen Datenschutzaufsichtsbehörde
docuteam verpflichtet sich, dem Kunden auf Anfrage hin alle erforderlichen Informationen zum Nachweis der Einhaltung der vertraglich vereinbarten Pflichten zur Verfügung zu stellen und Überprüfungen zu ermöglichen – einschliesslich Inspektionen, die vom Kunden oder einem von ihm beauftragten fachkundigen Dritten durchgeführt werden.
Untersteht der Kunde etwaigen Amts-, Berufs-, Geschäfts-, Fabrikations- oder Bankgeheimnispflichten sowie weiteren gesetzlichen oder vertraglichen Geheimhaltungspflichten hinsichtlich der bearbeiteten Daten, so ist er verpflichtet, docuteam ausdrücklich darauf sowie auf die Folgen für die Datenbearbeitung aufmerksam zu machen. docuteam wird die entsprechenden Geheimhaltungspflichten beachten. Des Weiteren kann sich die Aufsichtsbefugnis etwaiger Datenschutz- oder anderer Aufsichtsbehörden auf docuteam als Auftragsdatenbearbeiterin erstrecken.
Für die Ermöglichung von Kontrollen durch den Kunden kann docuteam einen Vergütungsanspruch geltend machen.
8. Mitteilung bei Verstössen des Auftragnehmers
docuteam unterstützt den Kunden bei der Einhaltung seiner Pflichten zur Sicherheit von Personendaten, Datenschutz-Folgeabschätzungen und vorherige Konsultationen. docuteam verpflichtet sich, den Kunden ohne Verzug über eine tatsächliche oder vermutete Verletzung der Datensicherheit im Zusammenhang mit der Bearbeitung der Daten des Kunden zu informieren. Ein erfolgloser Versuch einer Datensicherheitsverletzung unterliegt nicht der vorliegenden Meldepflicht. Die Meldungen und Reaktionen von docuteam betreffend festgestellte oder vermutete Datensicherheitsverletzungen erfolgen unabhängig davon, ob docuteam ein Verschulden an der Datensicherheitsverletzung trifft, und stellen weder eine Anerkennung einer Vertrags- noch einer Gesetzesverletzung durch docuteam dar.
Für Unterstützungsleistungen, die nicht im Angebot beschrieben oder nicht auf ein Fehlverhalten von docuteam zurückzuführen sind, kann docuteam eine Vergütung beanspruchen.
9. Weisungsbefugnis des Auftraggebers
Mündliche Weisungen bestätigt docuteam unverzüglich in schriftlicher Form. docuteam wird den Kunden informieren, wenn sie der Meinung ist, eine Weisung verstosse gegen die anwendbaren Datenschutzvorschriften. docuteam ist in einem solchen Fall berechtigt, die Durchführung der entsprechenden Weisung solange auszusetzen, bis sie durch den Kunden bestätigt oder geändert wird.
10. Löschung und Rückgabe von Personendaten
docuteam wird keine Kopien oder Duplikate der Primärdaten ohne das Wissen des Kunden erstellen. docuteam wird hingegen ohne Widerspruch des Kunden Metadaten (Verzeichnisdaten) zu den bearbeiteten Primärdaten speichern, um diese dem Kunden zur Konsultation bereitzustellen und/oder die Daten bei einem nachfolgenden Auftrag weiterbearbeiten zu können.
Wünscht der Kunde dies nicht bzw. kündigt er diesen Vertrag, kann er eine Herausgabe aller Metadaten entweder durch Übergabe von Datenträgern oder via verschlüsseltem Download verlangen. Der Kunde muss im letzteren Fall den Download seiner Daten spätestens vier Arbeitswochen nach Vertragsbeendigung abgeschlossen haben. docuteam kann für die Bereitstellung der Daten einen Vergütungsanspruch geltend machen.
docuteam wird bei Vertragsbeendigung bzw. nach dem Export der Daten des Kunden alle Daten des Kunden, welche sich in diesem Zeitpunkt noch auf ihren produktiven Systemen befinden, unwiederbringlich löschen, sofern keine gesetzliche Pflicht die Aufbewahrung von Daten vorliegt oder docuteam ein überwiegendes eige-nes Interesse an der weiteren Bearbeitung der Daten nachweisen kann. docuteam legt das Protokoll der Lö-schung auf Anfrage vor.
11. Laufzeit
Der Vertrag zur Auftragsdatenverarbeitung wird auf unbestimmte Zeit abgeschlossen. Er kann unter Einhaltung einer Kündigungsfrist von drei Monaten auf das Ende eines Monats gekündigt werden.