Datenschutzrichtlinie
Inhaltsverzeichnis
1. Allgemeine Bestimmungen
2. Betroffene Personen und Geltungsbereich
3. Arten und Quelle verarbeiteter personenbezogener Daten
4. Rechtliche Grundlage und Zweck der Verarbeitung personenbezogener Daten. Zeitraum der Datenaufbewahrung
5. Verantwortliche für die Verarbeitung und Auftragsverarbeiter
6. Verarbeitung verborgener personenbezogener Daten (der Website-Navigation)
7. Methode und Ort der Verarbeitung, Übertragung personenbezogener Daten
8. Rechte betroffener Personen
1. Allgemeine Bestimmungen
1.1 Einleitung. Die HAPA AG („Unternehmen“) mit eingetragenem Sitz in Chriesbaumstrasse 4, 8604, Volketswil, Schweiz mit der USt-Nr. CHE-112760851, ist ein Unternehmen von Coesia, einer weltweit agierenden Unternehmensgruppe, die sich auf innovationsbasierte Branchenlösungen spezialisiert hat und die von der Muttergesellschaft Coesia S.p.A. („Coesia“) direkt kontrolliert wird. Das Unternehmen ist gemäß der Verpflichtung von Coesia zur internationalen Einhaltung der Datenschutzgesetze entsprechend verpflichtet, durch die Nutzung der Website www.hapa.ch(„Website“) erfasste personenbezogene Daten zu schützen, und zwar gemäß den geltenden nationalen Vorschriften zum Schutz personenbezogener Daten („nationale Datenschutzgesetze“) und der EU-Datenschutzgrundverordnung 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG („DSGVO“). In dieser Datenschutzrichtlinie wird erklärt, wie Informationen und Daten, die Personen identifizieren („personenbezogene Daten“) und die das Unternehmen über die Website erhält, verarbeitet werden.
1.2 Datenverantwortlicher. Das Unternehmen verarbeitet personenbezogene Daten als Datenverantwortlicher (oder gegebenenfalls gemeinsamer Datenverantwortlicher) gemäß den nationalen Datenschutzgesetzen und der DSGVO. Die Identität und die Kontaktdaten des Unternehmens werden auf der Website angegeben.
1.3 Änderungen. Der Datenverantwortliche behält sich das Recht vor, die Datenschutzrichtlinie durch weitere neue oder geänderte Bestimmungen der nationalen und EU-Gesetze und Vorschriften zum Schutz personenbezogener Daten zu ändern und zu aktualisieren. Die Datenschutzrichtlinie wird auf der Website veröffentlicht und mit fortlaufenden Identifikationsnummern und dem Monat der Veröffentlichung gekennzeichnet Jede neue Version der Datenschutzrichtlinie wird auf der Website als Ersatz für die vorherige Version veröffentlicht und ist ab dem Veröffentlichungsdatum gültig und durchsetzbar, sofern nicht anders angegeben.
1.4 Geltende Vorschriften. Der Datenverantwortliche verarbeitet personenbezogene Daten gemäß Folgendem: (i) den zum Datum der Datenschutzrichtlinie wirksamen nationalen Datenschutzgesetzen; (ii) den Bestimmungen der DSGVO und insbesondere den darin aufgeführten Prinzipien, wie z. B., inter alia, Gesetzmäßigkeit, Fairness und Transparenz, Zweckbindung, Datenangemessenheit und -minimierung, Rechenschaftspflicht, Richtigkeit und - vor jeder Verarbeitungsaktivität - die Prinzipien des Datenschutzes durch Technikgestaltung und datenschutzfreundliche Voreinstellungen; (iii) Leitfäden und Entscheidungen der Aufsichtsbehörde („Aufsichtsbehörde“).
2. Betroffene Personen und Geltungsbereich
2.1 Betroffene Personen. Die Aktivitäten des Unternehmens beziehen sich auf (i) Personen, die die Website besuchen („Besucher“); und (ii) jede natürliche/juristische Person, mit der das Unternehmen Beziehungen aufbaut, und zwar bei der Registrierung für Unternehmensveranstaltungen und/oder die Anmeldung für den Bezug von Informationen, Informationsmaterialien, Newslettern und anderen Mitteilungen („Benutzer“). Für die Zwecke dieser Datenschutzrichtlinie gelten Besucher und/oder Benutzer als betroffene Personen, wie in den nationalen Datenschutzgesetzen und in der DSGVO definiert.
2.2 Geltungsbereich. Die Datenschutzrichtlinie gilt für Besucher und/oder Benutzer, vorausgesetzt, dass das Unternehmen in seiner Eigenschaft als Datenverantwortlicher nur für die Verarbeitung personenbezogener Daten verantwortlich ist, die unter seinen Befugnissen, Pflichten und Verbindlichkeiten fallen. Die Datenschutzrichtlinie gilt nicht als gültig und durchsetzbar für alle von Dritten durchgeführten Verarbeitungsaktivitäten, deren Internetseiten durch die Website erreicht werden kann.
3. Arten und Quelle verarbeiteter personenbezogener Daten
3.1 Quelle. Unternehmensprozesse:
a. in seiner Eigenschaft als Datenverantwortlicher die personenbezogenen Daten der Benutzer, wie nachfolgend angegeben, die von Benutzern angegeben werden;
b. in seiner Eigenschaft als Datenverantwortlicher die personenbezogenen Daten der Besucher, wie nachfolgend angegeben, sowie alle Daten im Zusammenhang mit Cookies, die gemäß der auf der Website veröffentlichten Cookie-Richtlinie verwendet werden.
3.2 Identifikationsdaten. Das Unternehmen verarbeitet die personenbezogenen Daten von Besuchern und Benutzern, die aus allgemeinen personenbezogenen Daten bestehen. Vertrauliche und/oder justizielle Daten (gemäß den geltenden nationalen Datenschutzgesetzen) und/oder besondere Kategorien von personenbezogenen Daten sowie personenbezogene Daten zur Gesundheit gemäß den Definitionen in der DSGVO sind ausdrücklich von den Verarbeitungsaktivitäten im Rahmen dieser Datenschutzrichtlinie ausgeschlossen (all diese Arten personenbezogener Datenwerden im Folgenden als „spezielle Daten“ bezeichnet). Die von Besuchern und Benutzern bereitgestellten personenbezogenen Daten können Folgendes umfassen:
a. Navigationsdaten, wie IP-Adressen, Domain-Namen der Computer, die von den Besuchern der Website verwendet werden, die URI (Uniform Resource Identifier)-Adressen der angeforderten Ressourcen, der Zeitpunkt der Anfrage, die Serveranfragemethode, die beantwortete Dateidimension, der Serverstatuscode (gut, Fehler usw.), andere Parameter im Zusammenhang mit dem Betriebssystem und der Informatik-Umgebung des Besuchers. Diese Daten werden jedoch nur verwendet, um anonyme statistische Informationen auf der Website und deren Funktionen zu extrahieren und werden am Ende der jeweiligen Verarbeitungsaktivität sofort gelöscht;
b. Personenbezogene Daten, die freiwillig von Benutzern bereitgestellt werden, wie Vorname und Nachname (einschließlich Vorname und Nachname des gesetzlichen Vertreters des Unternehmens/der juristischen Person, für die die Benutzer arbeiten), Steuer- und USt.-Nummern, Standort/Wohnsitz (auch für Steuerzwecke), Kontaktdaten (einschließlich Mobiltelefonnummern, Faxnummern und/oder anderer Identifikationsnummern), Post- und E-Mail-Adressen (einschließlich der geschäftlichen E-Mail-Adressen der Angestellten/Mitarbeiter von Benutzern und, sofern zutreffend, zertifizierte E-Mail-Adressen), Postleitzahlen, Bankkonten und/oder Daten in Bezug auf Zahlungen usw.
3.3 Spezielle Daten. Die Aktivitäten, die über die Website durchgeführt werden können, erfordern keine Bereitstellung von speziellen Daten, so dass betroffene Personen aufgefordert werden, dem Unternehmen keine speziellen Daten anzugeben und/oder zur Verfügung zu stellen. Sofern nicht ausdrücklich schriftlich vereinbart, werden spezielle Daten, die versehentlich von betroffenen Personen bereitgestellt werden, vom Datenverantwortlichen gelöscht und/oder entfernt oder aber anonymisiert.
4. Rechtliche Grundlage für die und Zweck der Verarbeitung personenbezogener Daten. Zeitraum der Datenaufbewahrung
4.1 Rechtliche Grundlage. Die rechtliche Grundlage für die Verarbeitung personenbezogener Daten ist: (i) die Einwilligung der betroffenen Personen; (ii) das legitime Interesse des Unternehmens, insbesondere wenn die Verarbeitung personenbezogener Daten für die Zwecke der Verhinderung von Betrug oder für die Erfüllung von gesetzlichen Formalitäten oder für Direktmarketingzwecke, jeweils gemäß der DSGVO, erforderlich ist.
4.2 Zwecke. Der Datenverantwortliche verarbeitet personenbezogene Daten für folgende Zwecke, wie in der Tabelle unten angegeben, in der außerdem hervorgehoben wird (a), wenn eine ausdrückliche Einwilligung zur Verarbeitung personenbezogener Daten erforderlich ist (oder nicht) sowie (b) der Zeitraum der Datenaufbewahrung:
|
Purposes |
Consent |
Data retention |
A. |
Coesia die Durchführung aller Formalitäten gestatten, die gesetzlich vorgeschrieben sind, einschließlich der administrativen und steuerlichen/finanztechnischen Angelegenheiten |
nicht erforderlich |
Bis zum Ablauf der Datenaufbewahrungsfrist gemäß geltendem Rec |
B. |
Verbesserung der Website durch die Analyse, wie Besucher und/oder Benutzer auf der Website navigieren und/oder diese verwenden |
nicht erforderlich |
Nicht zutreffend (aggregierte oder anonyme Daten) |
C. |
Senden von Mitteilungen und Beantworten von Anfragen bezüglich der Unternehmensaktivitäten |
Erforderlich |
Für den Zeitraum, der für die Beantwortung und die Durchsetzung der Rechte des Unternehmens erforderlich ist |
D. |
Senden von Newslettern mit allgemeinen Informationen, Verkaufsförderungs- und Werbematerialien und/oder anderen Materialien für Marketingkommunikationszwecke in Bezug auf die Funktionen der Website hinsichtlich der Aktivitäten von Coesia und des Unternehmens |
Erforderlich für Newsletter, andere Materialien für Werbe- oder Direktmarketingkommunikationszwecke (d. h. Marketingkommunikation über elektronische Kommunikationswege wie E-Mail, Fax, SMS und MMS), Fragebögen und Umfragen. Gemäß den geltenden Gesetzen nicht erforderlich für Marketingmitteilungen per Post und/oder E-Mail an die Kunden |
Bis zum Widerruf der Einwilligung oder bis eine Ablehnung mitgeteilt wurde |
E. |
Übermittlung personenbezogener Daten an Coesia und Coesia-Konzernunternehmen, um geschäftliche Informationen, Newsletter und/oder Materialien (siehe oben) zu erhalten (unter den Buchstaben C) und D)) |
Erforderlich |
Bis zum Widerruf der Einwilligung |
F. |
Verarbeitung personenbezogener Daten für statistische Analysen |
nicht erforderlich |
Nicht zutreffend (aggregierte oder anonyme Daten) |
4.3 Optionale Bereitstellung von personenbezogenen Daten. Die Bereitstellung der personenbezogenen Daten ist, abhängig von den oben angegebenen Informationen über die Navigationsdaten, optional und freiwillig. Werden personenbezogene Daten nicht bereitgestellt, kann dies dazu führen, dass die personenbezogenen Daten nicht zusammen mit den angeforderten Mitteilungen und/oder Antworten und/oder Aktivitäten übermittelt werden.
4.4 Einverständniserklärung und Widerruf. In Bezug auf die unter den Buchstaben C), D) und E) der obigen Tabelle enthaltenen Zwecke geben die betroffenen Personen ihre Einwilligung zur Verarbeitung, indem Sie Anfragen oder Mitteilungen an das Unternehmen richten oder das entsprechende Kästchen gemäß den Verfahren und Anweisungen auf der Website anklicken. Betroffene Personen können ihr Einverständnis durch die Benachrichtigung des Unternehmens durch jedwede Mittel und in jedweder Form widerrufen, einschließlich telefonisch; betroffene Personen sind angehalten, den Anweisungen in jedem Newsletter zu folgen, insbesondere in Bezug auf den unter dem Buchstaben D) festgelegten Zweck, um alle relevanten Formalitäten hinsichtlich der betreffenden Anfrage zu erfüllen, einschließlich der Löschung und Entfernung der E-Mail-Adresse aus der Mailingliste. Wenn die betroffenen Personen ihre Einwilligung hinsichtlich der unter den Buchstaben C), D) und E) der obigen Tabelle genannten Zwecke widerrufen, werden die entsprechenden Verarbeitungsaktivitäten des Unternehmens unterbrochen.
5. Verantwortliche für die Verarbeitung und Auftragsverarbeiter
5.1 Datenverantwortliche und Verantwortliche für die Verarbeitung . Wie oben angegeben, verarbeitet das Unternehmen personenbezogene Daten, die von Besuchern und/oder Benutzern über die Website erfasst wurden. Direktoren, Anteilseigner und unabhängige Mitarbeiter (unabhängig hinsichtlich der vertraglichen Beziehung) des Unternehmens können personenbezogene Daten in Ihrer Eigenschaft als Verantwortliche für die Verarbeitung gemäß den nationalen Datenschutzgesetzen und des Art. 29 der DSGVO verarbeiten. Die Verantwortlichen für die Verarbeitung sind entsprechend geschult und befähigt, den Zugriff auf personenbezogene Daten gemäß der Datenschutzrichtlinie und vorbehaltlich ihrer ausgeführten Aufgaben und Aufträge zu ermöglichen.
5.2 Gemeinsame Datenverantwortliche und Auftragsverarbeiter. Datenverantwortliche kann als Auftragsverarbeiter interne und externe Firmen/Personen beauftragen, einschließlich, aber nicht beschränkt auf (rechtliche und steuerliche) Berater und externe Unternehmen (insbesondere Internetanbieter und Dienstleister, auch mithilfe von Cloudplattformen). Die vollständige Liste aller Auftragsverarbeiter kann von den betroffenen Personen beim Datenverantwortlichen angefordert werden, indem eine E-Mail an die in Artikel 8.1 der Datenschutzrichtlinie angegebene E-Mail-Adresse des Datenverantwortlichen gesendet wird.
5.3 Einschränkungen. Gegebenenfalls benannte Verantwortliche für die Verarbeitungsaktivitäten und Auftragsverarbeiter werden entsprechend geschult und ordnungsgemäß ermächtigt, um den Zugriff auf personenbezogene Daten und deren Nutzung zu ermöglichen, und zwar vorbehaltlich der ihnen übertragenen Pflichten und Aufgaben und gemäß der Datenschutzrichtlinie.
6. Verarbeitung verborgener personenbezogener Daten (der Website-Navigation)
6.1 Navigationsdaten. Der Datenverantwortliche verarbeitet verborgene personenbezogene Daten, die während der Navigation erfasst wurden, in Übereinstimmung mit der Cookie-Richtlinie.
6.2 Link. Die Website enthält möglicherweise Hypertext-Links zu anderen Websites, die nicht verwaltet werden oder anderweitig mit dem Unternehmen in Verbindung stehen. Der Datenverantwortliche hat keinen Zugriff auf oder Kontrolle über solche Websites. Die betroffenen Personen werden vom Datenverantwortlichen aufgefordert, die Datenschutzrichtlinien dieser Websites Dritter zu lesen, auf die die betroffenen Personen von der Website aus zugreifen können, um die Erfassungs- und Verarbeitungsmethoden für personenbezogene Daten zu erfahren.
6.3 Zugriff auf den Newsletter. Die Analyse der personenbezogenen Daten in Bezug auf Newslettereröffnung und -beratung wird für statistische Analysezwecke durchgeführt, um dem Unternehmen Informationen zur Nutzung dieser zu geben. Dies kann nützlich sein, um die Inhalte und Formate zu ändern.
7. Verarbeitungsmethode, Speicherung personenbezogener Daten und Sicherheitsmaßnahmen
7.1 Methoden der Verarbeitung. Die personenbezogenen Daten von betroffenen Personen werden fast ausschließlich durch automatisierte Verfahren verarbeitet, und zwar durch die Verwendung von computergestützten Systemen und Software oder in begrenztem Umfang durch manuelle Mittel (z. B. auf Papier), vorausgesetzt, dass die personenbezogenen Daten mit Methoden verarbeitet werden, die sich grundsätzlich auf die Zwecke beziehen, für die solche Daten erfasst wurden, und in jedem Fall deren Sicherheit gewährleistet wird, und zwar gemäß den Vorgaben der DSGVO und der nationalen Datenschutzgesetze.
7.2 Ort der automatisierten Datenverarbeitung. Die Verarbeitung personenbezogener Daten erfolgt in den Hauptbüros des Datenverantwortlichen und/oder – falls benannt – der Auftragsverarbeiter und/oder gemeinsamen Datenverantwortlichen. Personenbezogene Daten werden in den Hauptbüros des Datenverantwortlichen gespeichert, wo sich die physischen Server befinden, und in einigen Fällen auf Servern von Dritten, die Cloudservices zur Speicherung personenbezogener Daten bereitstellen.
7.3 Übertragung personenbezogener Daten. Personenbezogene Daten, die ausschließlich aus der E-Mail-Adresse bestehen, dürfen für Unternehmens- und/oder geschäftliche Zwecke nur an Coesia oder andere Coesia-Unternehmen übertragen werden, unabhängig davon, ob Sie sich in der EU oder in Drittländern außerhalb der EU befinden. Im letzteren Fall unterliegt die Übertragung oben genannter personenbezogener Daten jedoch der Bewertung durch den Datenverantwortlichen dahingehend, ob die Bestimmungen der DSGVO und insbesondere der darin enthaltenen Artikel 44 und 45 eingehalten werden.
7.4 Ort der manuellen Datenverarbeitung. Wenn personenbezogene Daten offline gesammelt werden (z. B. auf Papier), werden alle Dokumente, in denen die genannten Daten enthalten sind, in den Hauptbüros des Datenverantwortlichen oder der Auftragsverarbeiter und Dienstleister gespeichert, sofern diese benannt wurden, und in entsprechende Archive eingefügt.
7.5 Aufbewahrungsfrist der personenbezogenen Daten. Personenbezogene Daten werden nicht weitergegeben. Personenbezogene Daten können an externe Auftragsverarbeiter und/oder Dienstleister (z. B. Cloudanbieter) oder – vorbehaltlich der in Art. 7.3 oben dargelegten Beschränkungen – an Coesia oder Coesia-Unternehmen übermittelt werden.
7.6 Weitergabe personenbezogener Daten. Personenbezogene Daten werden nicht weitergegeben.
8. Rechte betroffener Personen
8.1 Rechte. Wenn es sich bei betroffenen Personen um einzelne Personen/natürliche Personen handelt, können diese sich direkt an den Datenverantwortlichen oder die vom selben Datenverantwortlichen benannten Auftragsverarbeiter wenden, um ihre Rechte gemäß den Bestimmungen der nationalen Datenschutzgesetze und der DSGVO (Artikel 15 und nachfolgende Artikel) durchzusetzen; insbesondere, um Zugriff auf ihre eigenen personenbezogenen Daten zu erhalten, die Aktualisierung und Berichtigung oder Löschung derselben zu erwirken, eine Einschränkung der Verarbeitung zu erwirken, der Verarbeitung ihrer personenbezogenen Daten aus rechtmäßigen Gründen zu widersprechen (mit den in den Datenschutzrichtlinien angegebenen Auswirkungen) sowie eine Datenübertragbarkeit zu erreichen, und zwar durch Senden einer E-Mail an die Adresse privacy@hapa.ch oder, speziell im Hinblick auf den Newsletter, durch Klicken auf die Schaltfläche „unsubscribe“ (abbestellen) oder durch Befolgen der Anleitung auf der Website.
8.2 Beschwerde. Ungeachtet des Obenstehenden und gemäß den Artikeln 13 und 15 der DSGVO können betroffene Personen, wenn sie einzelne/natürliche Personen sind, eine Beschwerde bei der zuständigen Aufsichtsbehörde einreichen, um ihre oben aufgeführten Rechte durchzusetzen.
Version: 01, April 2018