Datenschutzerklärung
bexio AG
Die bexio AG, Alte Jonastrasse 24, 8640 Rapperswil, Schweiz (nachfolgend "Provider", "wir" oder "uns"), ist die Verfasserin der vorliegenden Datenschutzerklärung. Die vorliegende Datenschutzerklärung gilt für sämtliche Nutzerinnen und Nutzer von Dienstleistungen des Providers, sofern dadurch Personendaten bearbeitet werden. Insbesondere fallen darunter Kunden, welche mit dem Provider einen Vertrag über Dienstleistungen des Providers abgeschlossen haben, deren Mitarbeitenden sowie die Websitebesucher. Überdies kann der Provider die Datenschutzerklärung auf vertraglicher Basis für weitere Vertragspartner anwendbar erklären. Einfachheitshalber gelten nachfolgend sämtliche von der Datenbearbeitung betroffenen Personen als "Kunden". Nachfolgend wird unter Personendaten oder "Daten" alle Angaben verstanden, die sich auf eine bestimmte oder bestimmbare Person beziehen.
Der Provider steht vorliegend für einen sorgfältigen und gewissenhaften Umgang mit den persönlichen Informationen seiner Kunden ein. Der Provider ist verantwortlich für die Sammlung, Bearbeitung, Weitergabe, Speicherung und den Schutz der persönlichen Informationen seiner Kunden und sorgt für die Einhaltung der anwendbaren Datenschutzgesetzgebung.
Wenn Sie uns Personendaten anderer Personen zur Verfügung stellen, stellen Sie bitte sicher, dass diese Personen die vorliegende Datenschutzerklärung kennen und teilen Sie uns deren Personendaten nur mit, wenn Sie dies dürfen und wenn diese Personendaten korrekt sind.
1. Kontaktdaten
Verantwortlich für die Datenbearbeitung ist:
bexio AG
Alte Jonastrasse 24
8640 Rapperswil
Schweiz
+41 (0)71 552 00 60
Der Datenschutzbeauftragte kann unter [email protected] erreicht werden.
2. Anwendbares Recht
Diese Datenschutzerklärung ist auf die Anforderungen des Schweizer Datenschutzgesetzes ("DSG") sowie der EU-Datenschutz-Grundverordnung ("DSGVO") ausgelegt. Ob und inwieweit diese Gesetze anwendbar sind, hängt jedoch vom Einzelfall ab.
3. Art und Umfang der Erhebung von Personendaten
Allgemein
Wir bearbeiten in erster Linie die Personendaten, die wir im Rahmen unserer Geschäftsbeziehung mit unseren Kunden und anderen Geschäftspartnern von diesen und weiteren daran beteiligten Personen erhalten oder die wir beim Betrieb unserer Websites, Apps und weiteren Anwendungen von deren Nutzern erheben.
Soweit dies erlaubt ist, entnehmen wir auch öffentlich zugänglichen Quellen (z.B. Betreibungs-register, Grundbücher, Handelsregister, Presse, Internet) gewisse Daten oder erhalten solche von anderen Unternehmen innerhalb der Gruppe Mobiliar (siehe Kapitel 6), von Behörden und sonstigen Dritten. Nebst den Daten von Ihnen, die Sie uns direkt geben, umfassen die Kategorien von Personendaten, die wir von Dritten über Sie erhalten, insbesondere Angaben aus öffentlichen Registern, Angaben, die wir im Zusammenhang mit behördlichen und gerichtlichen Verfahren erfahren, Angaben im Zusammenhang mit ihren beruflichen Funktionen und Aktivitäten (damit wir z.B. mit Ihrer Hilfe Geschäfte mit Ihrem Arbeitgeber abschliessen und abwickeln können), Angaben über Sie in Korrespondenz und Besprechungen mit Dritten, Bonitätsauskünfte (soweit wir mit Ihnen persönlich Geschäfte abwickeln), Angaben über Sie, die uns Personen aus Ihrem Umfeld (Familie, Berater, Rechtsvertreter, etc.) geben, damit wir Verträge mit Ihnen oder unter Einbezug von Ihnen abschliessen oder abwickeln können (z.B. Referenzen, Ihre Adresse für Lieferungen, Vollmachten, Angaben zur Einhaltung gesetzlicher Vorgaben wie etwa der Geldwäschereibekämpfung und Exportrestriktionen, Angaben von Banken, Versicherungen, Vertriebs- und anderen Vertragspartnern von uns zur Inanspruchnahme oder Erbringung von Leistungen durch Sie (z.B. erfolgte Zahlungen, erfolgte Käufe), Angaben aus Medien und Internet zu Ihrer Person (soweit dies im konkreten Fall angezeigt ist, z.B. im Rahmen einer Bewerbung, Presseschau, Marketing/Verkauf, etc.), Ihre Adressen und ggf. Interessen und weitere soziodemographische Daten (für Marketing), Daten im Zusammenhang mit der Benutzung der Website (z.B. IP-Adresse, MAC-Adresse des Smartphones oder Computers, Angaben zu Ihrem Gerät und Einstellungen, Cookies, Datum und Zeit des Besuchs, abgerufene Seiten und Inhalte, benutzte Funktionen, verweisende Website, Standortangaben).
beim Besuch unserer Website (ohne Login)
Wenn Kunden den Online-Auftritt des Providers ausserhalb des über Login geschützten Bereichs besuchen, protokolliert die eingesetzte Webserver-Technologie automatisch allgemeine technische Besuchsinformationen. Dazu zählen unter anderem die IP-Adresse des verwendeten Geräts, die jedoch bei Google vor dem Speichern anonymisiert wird, so dass sie dem Kunden nicht mehr zugeordnet werden kann. Google verwendet hierzu die Methode _anonymizeIp(). Des Weiteren zählen dazu Angaben zum Browsertyp, zum Internet Service Provider und zum verwendeten Betriebssystem.
bei Nutzung der bexio Cloud-Software (mit Login)
Während des kostenlosen Testzugangs sowie bei der kostenpflichtigen Nutzung der Software bexio innerhalb des über Login geschützten Bereichs, werden zusätzlich sämtliche vom Kunden während des Anmeldungsprozesses sowie im Rahmen der Nutzung der Software eingegebenen bzw. eingereichten Daten gespeichert. Dies ist insbesondere der Fall, wenn sich der Kunde registriert, Bestellungen durchführt, Online-Formulare ausfüllt, an Befragungen oder Wettbewerben teilnimmt, mit dem Provider online oder offline korrespondiert oder mit dem Provider über Social Media, Blogs oder andere interaktive Medien in Berührung kommt.
Hier werden in der Regel die Personenstammdaten (Name, Adresse, E-Mail-Adresse) sowie die zu dem jeweiligen Dienst erforderlichen Einstellungen erhoben.
Mit der Erfassung von Daten willigt der Kunde im Rahmen und Umfang der in der vorliegenden Datenschutzerklärung beschriebenen Zwecke in die Bearbeitung, Verwendung und Weitergabe der personenbezogenen Daten ein.
Datenaustausch mit Dritten / Treuhänder
Der Kunde hat die Möglichkeit, seine Daten mit Dritten, z.B. seinem persönlichen Treuhänder, direkt oder im Rahmen des Treuhänder-Partner Programms des Providers zu teilen. Mit Erteilung der Zugriffsrechte erklärt der Kunde sein Einverständnis, dass der Provider Dritten (z.B. dem Treuhänder) sämtliche Daten des betreffenden Kunden zur Verfügung stellt bzw. den Zugriff darauf erlauben darf. Der Kunde behält dabei jederzeit die volle Kontrolle über die Zugriffsrechte des Dritten auf seine Daten und kann den Zugriff jederzeit einschränken oder verweigern.
Zudem ermöglicht der Provider, dass der Dritte (z.B. Treuhänder) selbst als Kunde ein bexio-Konto eröffnet. In diesem Fall verwaltet der Dritte, respektive Treuhänder, als Kunde die Zugriffsrechte und kann diese gegenüber Dritten erteilen, respektive einschränken oder verweigern. Der Provider behält sich allerdings das Recht vor, in begründeten Einzelfällen spezifische Daten an berechtigte Drittpersonen herauszugeben.
Lohnbuchhaltung
Bei der Nutzung der optionalen Lohnbuchhaltungssoftware des Providers werden persönliche Daten von Mitarbeitern des Kunden an den Provider übermittelt. Der Provider behandelt diese Daten mit angemessener Sorgfalt und sorgt für deren Sicherheit gemäss den Standards in dieser Datenschutzerklärung. Der Kunde erklärt durch die Nutzung seine Zustimmung und befreit den Provider von jeglichen möglichen Ansprüchen. Die Einholung des Einverständnisses der Mitarbeiter ist Sache des Kunden. Der Kunde erklärt weiter, dass er die alleinige Verantwortung trägt für die Information seiner Mitarbeiter betreffend der möglichen Datenspeicherung, -nutzung, –bearbeitung und –weitergabe durch den Provider gemäss den Richtlinien in dieser Datenschutzerklärung. Sollten einzelne Mitarbeiter des Kunden mit der vorgesehenen Datenbearbeitung nicht einverstanden sein, ist der Kunde verantwortlich, die jeweiligen Daten seiner Mitarbeiter in seiner bexio-Cloud entsprechend zu löschen.
App-Marketplace / Add-ons Dritter
Der Provider stellt dem Kunden eine Schnittstelle ("API") zur Kommunikation mit Software von Drittanbietern zur Verfügung. Der Kunde hat dadurch die Möglichkeit, über die Software bexio hinaus verschiedene Zusatzpakete respektive Angebote von Drittanbietern ("Add-ons") zu integrieren. Der Kunde kann diverse Add-ons im App-Marketplace des Providers bestellen. Darüber hinaus kann der Kunde weiteren Drittanbietern die Berechtigung zur Benützung der Schnittstelle zu seinem bexio-Account erteilen. Sofern nicht ausdrücklich etwas anderes vereinbart ist, kommt ein Vertragsverhältnis über die Nutzung der Add-ons Dritter ausschliesslich zwischen dem Kunden und dem Drittanbieter zustande.
Sofern für die Nutzung eines Add-ons Zugriffsrechte erforderlich sind, erklärt sich der Kunde mit Bestellung respektive Integrierung des Add-ons ausdrücklich einverstanden, sämtliche hierfür notwendigen Zugriffsrechte zu gewähren. Der Provider ist sodann berechtigt, sämtliche für die Nutzung des Add-ons notwendigen Daten des Kunden zur Verfügung zu stellen bzw. den Zugriff darauf zu erlauben. Der Kunde behält dabei jederzeit die volle Kontrolle über die Zugriffsrechte des Drittanbieters auf seine Daten und kann den Zugriff jederzeit einschränken oder verweigern. Der Kunde ist damit einverstanden, dass der Provider oder der Drittanbieter bei der Nutzung von weiteren Add-ons Daten mit diesem Drittanbieter austauscht.
Mit der Bestellung des Add-ons erklärt der Kunde sein Einverständnis zu den AGB sowie der Datenschutzerklärung des jeweiligen Drittanbieters. Für die Datenbearbeitung des Drittanbieters übernimmt der Provider keine Verantwortung.
Beratungsdienstleistungen von Drittanbietern
Der Provider bietet seinen Kunden Beratungsdienstleistungen von Drittanbietern an. Damit der Drittanbieter die Berechtigung der Kunden überprüfen kann und über die nötigen Kontaktangaben verfügt, werden u.a. die folgenden Daten an den Drittanbieter übermittelt: Name / Firma des Unternehmens; Adresse (Strasse, PLZ, Ort, Adresszusätze); abgeschlossene Verträge zwischen dem Provider und dem Kunden; Telefonnummern(n); E-Mail-Adresse(n). Im Übrigen wird auf die Datenschutzerklärung der Drittanbieter jeweils in der aktuell gültigen Fassung verwiesen.
Banking-Funktionen
Bei der Nutzung der optional verfügbaren Banking-Funktionen ("Banken-Schnittstellen") des Providers bzw. bei der Anbindung des eigenen Accounts an eine Bank werden zwischen dem Provider und der betreffenden Bank Daten ausgetauscht. Die Banken-Schnittstellen werden teils direkt in Zusammenarbeit mit der jeweiligen Bank, teils via bLink-Plattform der SIX BBS AG zur Verfügung gestellt. Zu den bearbeiteten Daten zählen auch zahlungs- und bankspezifische Informationen wie IBAN, Kontoinformationen etc. Zum Zwecke der Fehlerbehebung sowie der Fehler-Alarmierung speichert der Provider bei Nutzung der Banking-Funktionen für die Dauer eines Monats folgende Log-Daten: Datenbankkürzel, Bank BIC, technische Schritte (z.B. Authentifizierung, File gesendet, File abgeholt, Logout) sowie Datum und Uhrzeit.
Der Provider kann den Nutzern der Banken-Schnittstellen, respektive den zugriffsberechtigten Mitarbeitern, Mitteilungen in Bezug auf die bestehenden Banken-Schnittstellen sowie die verbundene Bank zukommen lassen. Zu diesem Zweck können Personendaten bearbeitet werden. Ein Widerruf für die Banking spezifischen Mitteilungen kann über den «unsubscribe»-Link erfolgen.
Weitere Partner-Funktionen
Bei der Nutzung allfälliger weiterer optional verfügbarer Partner-Funktionen des Providers bzw. bei der Anbindung des eigenen Accounts an einen Partner werden zwischen dem Provider und dem betreffenden Partner Daten ausgetauscht.
4. Zwecke der Datenbearbeitung und Rechtsgrundlage
Wir verwenden die von uns erhobenen Personendaten in erster Linie, um unsere Verträge mit unseren Kunden und Geschäftspartnern abzuschliessen und abzuwickeln, so insbesondere im Rahmen der Software bexio sowie den Software as a Service-Dienstleistungen für unseren Kunden und den Einkauf von Produkten und Dienstleistungen von unseren Lieferanten und Subunternehmern, sowie um unseren gesetzlichen Pflichten im In- und Ausland nachzukommen. Wenn Sie für einen solchen Kunden oder Geschäftspartner tätig sind, können Sie in dieser Funktion mit Ihren Personendaten natürlich ebenfalls davon betroffen sein.
Darüber hinaus bearbeiten wir Personendaten von Ihnen und weiteren Personen, soweit erlaubt und es uns als angezeigt erscheint, auch für folgende Zwecke, an denen wir (und zuweilen auch Dritte) ein dem Zweck entsprechendes berechtigtes Interesse haben:
- Angebot und Weiterentwicklung unserer Angebote, Dienstleistungen und Websites, Apps und weiteren Plattformen, auf welchen wir präsent sind;
- Kommunikation mit Dritten und Bearbeitung derer Anfragen (z.B. Bewerbungen, Medienanfragen);
- Prüfung und Optimierung von Verfahren zur Bedarfsanalyse zwecks direkter Kundenansprache sowie Erhebung von Personendaten aus öffentlich zugänglichen Quellen zwecks Kundenakquisition;
- Werbung und Marketing (einschliesslich Durchführung von Anlässen), soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben (wenn wir Ihnen als bestehender Kunde von uns Werbung zukommen lassen, können Sie dem jederzeit widersprechen, wir setzen Sie dann auf eine Sperrliste gegen weitere Werbesendungen);
- Markt- und Meinungsforschung, Medienbeobachtung;
- Geltendmachung rechtlicher Ansprüche und Verteidigung in Zusammenhang mit rechtlichen Streitigkeiten und behördlichen Verfahren;
- Verhinderung und Aufklärung von Straftaten und sonstigem Fehlverhalten (z.B. Durchführung interner Untersuchungen, Datenanalysen zur Betrugsbekämpfung, Befolgung von behördlichen Anweisungen und Verfügungen);
- Gewährleistungen unseres Betriebs, insbesondere der IT, unserer Websites, Apps und weiteren Plattformen;
- Videoüberwachungen zur Wahrung des Hausrechts und sonstige Massnahmen zur IT-, Gebäude- und Anlagesicherheit und Schutz unserer Mitarbeiter und weiteren Personen und uns gehörenden oder anvertrauten Werte (wie z.B. Zutrittskontrollen, Besucherlisten, Netzwerk- und Mailscanner, Telefonaufzeichnungen);
- Kauf und Verkauf von Geschäftsbereichen, Gesellschaften oder Teilen von Gesellschaften und andere gesellschaftsrechtliche Transaktionen und damit verbunden die Übertragung von Personendaten sowie Massnahmen zur Geschäftssteuerung und soweit zur Einhaltung gesetzlicher und regulatorischer Verpflichtungen sowie interner Vorschriften.
Soweit Sie uns eine Einwilligung zur Bearbeitung Ihrer Personaldaten für bestimmte Zwecke erteilt haben (zum Beispiel bei Ihrer Anmeldung zum Erhalt von Newslettern oder Durchführung eines Background-Checks), bearbeiten wir Ihre Personendaten im Rahmen und gestützt auf diese Einwilligung, soweit wir keine andere Rechtsgrundlage haben und wir eine solche benötigen. Eine erteilte Einwilligung kann jederzeit widerrufen werden, was jedoch keine Auswirkung auf bereits erfolgte Datenbearbeitungen hat.
5. Weitergabe von Personendaten
Wir geben im Rahmen unserer geschäftlichen Aktivitäten und der Zwecke gemäss vorstehender Ziffer, soweit erlaubt und es uns als angezeigt erscheint, Personendaten auch Dritten bekannt, sei es, weil sie diese für uns bearbeiten, sei es, weil sie sie für ihre eigenen Zwecke verwenden wollen. Dabei geht es insbesondere um folgende Stellen:
- Dienstleister von uns (intern sowie extern, wie z.B. Zahlungsabwicklern), einschliesslich Auftragsbearbeitern (wie z.B. IT-Provider);
- Händler, Lieferanten, Subunternehmer und sonstige Geschäftspartner;
- Erwerber oder Interessenten am Erwerb von Geschäftsbereichen, Gesellschaften oder sonstigen Teilen des Providers;
- anderen Parteien in möglichen oder tatsächlichen Rechtsverfahren;
- Weitere Gesellschaften der Gruppe Mobiliar gemäss Kapitel 6;
alle gemeinsam "Empfänger".
Sämtliche Personendaten unserer Kunden, welche in der bexio Software gespeichert sind, werden ausschliesslich in der Schweiz gespeichert und bearbeitet.
Diese Empfänger sind primär im Inland, können aber auch im Ausland liegen. Sie müssen insbesondere mit der Übermittlung Ihrer Daten in alle Länder Europas und den USA rechnen, wo sich die von uns benutzten Dienstleister befinden (wie z.B. Google Drive, Zoom, etc.). Der Provider lässt insbesondere einzelne Datenbearbeitungen durch datenschutzkonform beauftragte Dienstleister ausführen, die ihren Sitz innerhalb der EU oder der Schweiz haben. Dies sind insbesondere Unternehmen in den Kategorien IT-Dienstleistungen, Zahlungsverkehr, Druckdienstleister, Abrechnung, Inkasso und Beratung sowie Vertrieb und Marketing sowie Dienstleister, die im Rahmen von Auftragsbearbeitungsverhältnissen herangezogen werden.
Befindet sich ein Empfänger in einem Land ohne angemessenen gesetzlichen Datenschutz, verpflichten wir den Empfänger vertraglich zur Einhaltung des anwendbaren Datenschutzes (dazu verwenden wir die revidierten Standardvertragsklauseln der Europäischen Kommission, die hier: https://eur-lex.europa.eu/eli/dec_impl/2021/914/oj? abrufbar sind), soweit er nicht bereits einem gesetzlich anerkannten Regelwerk zur Sicherstellung des Datenschutzes unterliegt und wir uns nicht auf eine Ausnahmebestimmung stützen können. Eine Ausnahme kann namentlich bei Rechtsverfahren im Ausland gelten, aber auch in Fällen überwiegender öffentlicher Interessen oder wenn eine Vertragsabwicklung eine solche Bekanntgabe erfordert, wenn Sie eingewilligt haben oder wenn es sich um von Ihnen allgemein zugänglich gemachte Daten handelt, deren Bearbeitung Sie nicht widersprochen haben.
6. Datenaustausch Gruppe Mobiliar
Mit Akzeptierung der Allgemeinen Geschäftsbedingungen sowie der vorliegenden Datenschutzerklärung des Providers erklärt der Kunde ausdrücklich sein Einverständnis zur Weitergabe seiner Daten an die Muttergesellschaft des Providers sowie verbundene Gesellschaften (nachfolgend gemeinsam "Mobiliar") gemäss vorliegender Ziffer. Dazu gehören:
- Versicherungsgesellschaften der Gruppe Mobiliar1
- weitere zur Gruppe Mobiliar gehörende Gesellschaften2
1 Zu den Versicherungsgesellschaften der Gruppe Mobiliar gehören: Schweizerische Mobiliar Versicherungsgesellschaft AG, Schweizerische Mobiliar Lebensversicherungsgesellschaft AG, Protekta Rechtsschutz-Versicherung AG und SwissCaution SA.
2 Weitere zur Gruppe Mobiliar gehörende Gesellschaften finden sich unter:
https://www.mobiliar.ch/die-mobiliar/ueber-uns/unternehmen-der-gruppe-mobiliar
Der Datenaustausch zwischen dem Provider und der Mobiliar ermöglicht insbesondere eine noch stärkere Nutzung vorhandener Synergien mit der Muttergesellschaft. Es werden in keinem Falle besonders schützenswerte Personendaten weitergegeben.
Die Mobiliar ist verpflichtet, sämtliche ihr bekannt werdenden Daten ausschliesslich im Rahmen der Datenschutzgesetzgebung zu bearbeiten und die datenschutzrechtlichen Sicherheitsvorschriften zu erfüllen. Die Mobiliar ist zur Geheimhaltung der ihr bekannt werdenden Daten verpflichtet.
Der Provider und die Gruppe Mobiliar sind berechtigt, Daten gemäss nachfolgender Übersicht zu bearbeiten, respektive zu nachfolgenden Zwecken weiterzugeben:
- Kundenstamm-Abgleich: Die Kundenstammdaten werden zu statistischen Zwecken abgeglichen. Mit dem Abgleich wird analysiert, wie viele gemeinsame Kunden bestehen, wie sich dieser Anteil im Zeitverlauf entwickelt und wie sich die gemeinsamen Kunden geografisch verteilen.
- Marktsegment-Analyse: Daten können zum Zweck der Marktsegment-Analyse bearbeitet werden. Hauptzweck der Marktsegmentierung ist, Unterschiede zwischen den Kunden aufzudecken, um daraus Schlussfolgerungen für segmentspezifische Marketingprogramme zu ziehen (Kundenstrukturanalyse).
- Informationsaustausch: Daten können zum Zweck des Informationsaustauschs zwischen dem Provider und der Mobiliar bearbeitet werden. Hauptzweck ist dabei, die Produkte und Dienstleistungen für den Kunden ständig verbessern zu können, um die Benutzung und den gewünschten Zugang zu den Applikationen, Produkten und Informationen zu managen, um das geschäftliche Verhältnis zu den Kunden zu pflegen, um die Leistungsfähigkeit der Angebote zu überwachen und zu verbessern.
- Marketing- und Analysezwecke: Ein Datenaustausch kann stattfinden, um den Kunden Angebote, Informationen oder Marketingmaterial über Produkte oder Dienstleistungen zukommen zu lassen, von welchen gestützt auf die Daten angenommen werden kann, sie könnten für den Kunden von Interesse sein.
7. Cookies
Cookies helfen, den Besuch auf der Website des Providers einfacher, angenehmer und sinnvoller zu gestalten. Cookies sind Informationsdateien, die der Webbrowser automatisch auf der Festplatte des Computers speichert, wenn der Kunde die Website des Providers besucht und Angebote nutzt.
Der Kunde kann die Sicherheitseinstellungen im Browser selbständig verwalten und dadurch eingesetzte Cookies sperren oder deaktivieren, wobei bestimmte Dienstleistungen des Providers eventuell nicht mehr (vollumfänglich) genutzt werden können.
Tracking- und Analyse-Tools / Social Media
Die Nutzung der digitalen Angebote des Providers wird mittels verschiedener technischer Systeme, überwiegend von Drittanbietern wie beispielsweise Google Analytics, gemessen und ausgewertet. Diese Messungen können sowohl anonym als auch personenbezogen erfolgen. Dabei ist es möglich, dass die erhobenen Daten vom Provider oder den Drittanbietern solcher technischen Systeme ihrerseits zur Verarbeitung an Dritte im In- und Ausland weitergegeben werden. Das am häufigsten verwendete und bekannteste Analyse-Tool ist Google Analytics, eine Dienstleistung von Google Inc. Damit können die erfassten Daten grundsätzlich an einen Server von Google in den USA (oder einem von Google bestimmten Ort) übermittelt werden.
Die Website des Providers benutzt Google Analytics, einen Webanalysedienst der Google Inc. mit Sitz in 1600 Amphitheatre Parkway, Mountain View, CA 94043, U.S.A. („Google“). Google Analytics verwendet sog. Cookies, Textdateien, die auf dem Computer des Kunden gespeichert werden und die eine Analyse der Benutzung der Website durch sie ermöglichen. Die durch die Cookies erzeugten Informationen über die Benutzung der Website (einschliesslich der IP-Adresse, die jedoch bei Google vor dem Speichern anonymisiert wird, so dass sie dem Kunden nicht mehr zugeordnet werden kann), werden an einen Server von Google in den USA (oder einem von Google bestimmten Ort) übertragen und dort gespeichert. Google wird diese Informationen benutzen, um die Nutzung der Website auszuwerten, um Reports über die Websiteaktivitäten für den Provider zusammenzustellen und um weitere mit der Websitenutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben ist oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall die IP-Adresse der Kunden mit anderen Daten von Google in Verbindung bringen.
Die Website des Providers nutzt die Funktion «demografische Merkmale» von Google Analytics. Dadurch können Berichte erstellt werden, die Aussagen zu Alter, Geschlecht und Interessen der Kunden enthalten. Diese Daten stammen aus interessenbezogener Werbung von Google sowie aus Besucherdaten von Drittanbietern. Diese Daten können keiner bestimmten Person zugeordnet werden. Die Kunden können diese Funktion jederzeit über die Anzeigeneinstellungen in ihrem Google-Konto deaktivieren oder die Erfassung ihrer Daten durch Google Analytics generell untersagen. Weitere Informationen finden sich in der Datenschutzerklärung von Google unter:
https://support.google.com/analytics/answer/6004245?hl=de
Wenn der Kunde nicht möchte, dass seine Websiteaktivitäten für Google Analytics verfügbar sind, kann er das Browser-Add-on zur Deaktivierung von Google Analytics installieren:
https://support.google.com/analytics/answer/181881?hl=en
So wird verhindert, dass über das auf Websites ausgeführte JavaScript (ga.js, analytics.js und dc.js) Aktivitätsdaten mit Google Analytics geteilt werden.
Die Analyse von Daten durch andere Tools des Websiteinhabers wird nicht unterbunden, wenn der Kunde das Add-on verwendet. Es können weiterhin Daten an die Website oder an andere Webanalyse-Dienste gesendet werden.
Schliesslich erfasst der Provider über seine Website gewisse Informationen in sogenannten Server-Log-Dateien, die der Internet-Browser des Kunden automatisch übermittelt. Diese umfassen unter anderem den Useragenten (Browsertyp und Browserversion, verwendetes Betriebssystem), http Header Informationen (Referrer URL, IP-Adresse des zugreifenden Rechners), die Uhrzeit der Serveranfrage und den Login-Status. Diese Server-Log-Dateien werden nur für die Fehleranalyse mit anderen Datenquellen zusammengeführt.
Technologien für Werbezwecke
Die Website des Providers nutzt die Funktionen von Google Analytics Remarketing in Verbindung mit den geräteübergreifenden Funktionen von Google AdWords und Google DoubleClick. Anbieter ist Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA („Google“).
Diese Funktion ermöglicht es, die mit Google Analytics Remarketing erstellten Werbe-Zielgruppen mit den geräteübergreifenden Funktionen von Google AdWords und Google DoubleClick zu verknüpfen. Auf diese Weise können interessenbezogene, personalisierte Werbebotschaften, die in Abhängigkeit des früheren Nutzungs- und Surfverhaltens des Kunden auf einem Endgerät (z.B. Handy) an den Kunden angepasst wurden auch auf einem anderen Endgerät (z.B. Tablet oder PC) angezeigt werden.
Hat der Kunde Google eine entsprechende Einwilligung erteilt, verknüpft Google zu diesem Zweck den Web- und App-Browserverlauf mit dem Google-Konto des Kunden. Auf diese Weise können auf jedem Endgerät auf dem sich der Kunde mit seinem Google-Konto anmeldet, dieselben personalisierten Werbebotschaften geschaltet werden.
Zur Unterstützung dieser Funktion erfasst Google Analytics google-authentifizierte IDs der Nutzer, die vorübergehend mit den Google-Analytics-Daten des Providers verknüpft werden, um Zielgruppen für die geräteübergreifende Anzeigenwerbung zu definieren und zu erstellen.
Der Kunde kann dem geräteübergreifenden Remarketing dauerhaft widersprechen, indem er personalisierte Werbung in seinem Google-Konto deaktiviert: https://www.google.com/settings/ads/onweb/
Weitere Informationen finden sich in der Datenschutzerklärung von Google unter: https://www.google.com/policies/technologies/ads/
Die Website des Providers verwendet ausserdem das online-Werbeprogramm Google AdWords. Anbieter ist Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA.
Im Rahmen von Google AdWords nutzt der Provider das so genannte Conversion-Tracking. Wenn der Kunde auf eine von Google geschaltete Anzeige klickt, wird ein Cookie für das Conversion-Tracking gesetzt. Bei Cookies handelt es sich um kleine Textdateien, die der Internet-Browser auf dem Rechner der Kunden ablegt. Diese Cookies verlieren spätestens nach 30 Tagen ihre Gültigkeit und dienen nicht zur Identifizierung. Wenn der Kunde unsere Website besucht und das Cookie noch nicht abgelaufen ist, können Google und der Provider erkennen, dass der Kunde auf die Anzeige geklickt hat und zu dieser Seite weitergeleitet wurden.
Der Provider erfährt von Google die Gesamtanzahl der Nutzer, die auf seine Anzeige geklickt haben und zu seiner mit einem Conversion-Tracking-Tag versehenen Website weitergeleitet wurden. Der Provider erhält jedoch keine Informationen, mit denen er den Kunden persönlich identifizieren kann.
Der Kunde kann die Speicherung der Cookies durch eine entsprechende Einstellung seiner Browser-Software verhindern. Der Provider weist den Kunden jedoch darauf hin, dass der Kunde gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich nutzen kann. Der Kunde kann zudem das Tracking verhindern, indem er das Cookie des Google Conversion-Trackings über seinen Internet-Browser unter Nutzereinstellungen deaktiviert.
Für weitere Informationen wird auf die Datenschutzerklärung von Google verwiesen: https://www.google.de/policies/privacy/
Die Website des Providers nutzt zusätzlich das Besucheraktions-Pixel von Facebook, Anbieter ist Facebook Inc., 1601 S. California Ave, Palo Alto, CA 94304, USA.
Mit dem Facebook Pixel kann das Verhalten der Seitenbesucher nachverfolgt werden, nachdem diese durch Klick auf eine Facebook-Werbeanzeige auf die Website des Providers weitergeleitet wurden. Dadurch können die Wirksamkeit der Facebook-Werbeanzeigen für statistische und Marktforschungszwecke ausgewertet werden und zukünftige Werbemassnahmen optimiert werden.
Die erhobenen Daten sind für den Provider anonym. Der Provider kann keine Rückschlüsse auf die Identität der Kunden ziehen. Die Daten werden aber von Facebook gespeichert und bearbeitet, sodass eine Verbindung zum jeweiligen Nutzerprofil möglich ist und Facebook die Daten für eigene Werbezwecke, entsprechend der Facebook-Datenverwendungsrichtlinie verwenden kann. Dadurch kann Facebook das Schalten von Werbeanzeigen auf Seiten von Facebook sowie ausserhalb von Facebook ermöglichen. Diese Verwendung der Daten kann vom Provider nicht beeinflusst werden.
Der Kunde kann dem Remarketing dauerhaft widersprechen, indem er die Remarketing-Funktion «Custom Audiences» im Bereich Einstellungen für Werbeanzeigen unter nachfolgendem Link deaktiviert. Dazu muss er bei Facebook angemeldet sein: https://www.facebook.com/ads/preferences/?entry_product=ad_settings_screen
Wenn der Kunde kein Facebook Konto besitzt, kann er nutzungsbasierte Werbung von Facebook auf der Website der European Interactive Digital Advertising Alliance unter nachfolgendem Link deaktivieren: http://www.youronlinechoices.com/de/praferenzmanagement/
Für weitere Informationen wird auf die Datenschutzerklärung von Facebook verwiesen: https://www.facebook.com/about/privacy/
Einbindung von Drittangeboten / Social Media
Die digitalen Angebote des Providers sind auf vielfältige Weise mit Funktionen und Systemen Dritter vernetzt, so etwa durch Einbindung von Plug-Ins sozialer Netzwerke Dritter wie insbesondere Facebook, Twitter usw. Wenn der Kunde bei diesen Dritten ein Benutzerkonto hat, ist es diesen unter Umständen ebenfalls möglich, die Nutzung der digitalen Angebote des Providers zu messen und auszuwerten. Dabei können weitere personenbezogene Daten, wie IP-Adresse, Browsereinstellungen und andere Parameter an diese Dritten übermittelt und dort gespeichert werden. Über die Nutzung solcherart durch Dritte erhobener personenbezogener Daten hat der Provider keine Kontrolle und übernimmt keine Verantwortung oder Haftung. Der Provider hat im Übrigen keine Detailkenntnisse davon, welche Daten an die Drittanbieter übermittelt werden, wohin sie übermittelt werden und ob sie anonymisiert werden.
Auf der Website des Providers sind Plugins von YouTube integriert. Anbieter ist YouTube LLC, 901 Cherry Ave., San Bruno, CA 94066, USA.
Über das YouTube-Plugin wird eine Verbindung zu den Servern von YouTube hergestellt. Dabei wird dem YouTube-Server mitgeteilt, welche der Seiten des Providers der Kunde besucht hat.
Wenn der Kunde in seinem YouTube-Account eingeloggt ist, kann YouTube sein Surfverhalten direkt seinem persönlichen Profil zuordnen. Dies kann der Kunde verhindern, indem er sich aus seinem YouTube-Benutzerkonto ausloggt.
Für weitere Informationen wird auf die Datenschutzerklärung von YouTube verwiesen: https://www.google.de/intl/de/policies/privacy
Sonstige Tools
Die Website des Providers nutzt über eine API den Kartendienst Google Maps. Anbieter ist die Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA. Wenn der Kunde die Funktionen von Google Maps nutzt, wird die IP Adresse von Google gespeichert und in der Regel an einen Server von Google in den USA übertragen. Der Provider hat keinen Einfluss auf diese Datenübertragung.
Für weitere Informationen wird auf die Datenschutzerklärung von Google verwiesen: https://www.google.de/intl/de/policies/privacy/
8. Datensicherheit
Der Provider verwendet technische und organisatorische Sicherheitsmassnahmen gemäss anerkannten Marktstandards, um gespeicherte Personendaten gegen unbeabsichtigte, rechtswidrige oder unberechtigte Manipulation, Löschung, Veränderung, Zugriff, Weitergabe oder Benutzung und gegen teilweisen oder vollständigen Verlust zu schützen. Die Server des Providers stehen in der Schweiz. Gewisse Leistungen können über Server in anderen Ländern – mit einem angemessenem Datenschutzniveau – abgewickelt werden, wobei die Vorgaben nach DSG, respektive DSGVO jederzeit vollumfänglich eingehalten werden. Die Verbindung zu den Servern erfolgt mittels SSL-Verschlüsselung. Der Provider führt regelmässig Sicherungen der Kundendaten durch (Backup). Um Datenverlust auch im Extremfall zu verhindern (bspw. Zerstörung Rechenzentrum durch ein Erdbeben) werden die verschlüsselten Backups parallel in mehreren Rechenzentren im In- und Ausland gespeichert. Die Sicherheitsmassnahmen werden entsprechend der technologischen Entwicklung fortlaufend angepasst und verbessert. Für die Sicherheit der Datenübertragung im Internet kann der Provider im Übrigen keine Gewährleistung übernehmen, insbesondere besteht bei der Übertragung von Daten per E-Mail die Gefahr des Zugriffs durch Dritte. Der Zugriff wird jedoch mittels HTTPS geschützt. Falls vom Kunden explizit gewünscht, kann der Kunde sich jederzeit für eine zweifach-Authentifizierung entscheiden.
9. Profiling / automatisierte Entscheidungen
Wir verarbeiten Ihre Personendaten teilweise automatisiert mit dem Ziel, bestimmte persönliche Aspekte zu bewerten (Profiling). Wir setzen Profiling insbesondere ein, um Sie zielgerichtet über Produkte informieren und beraten zu können. Dabei setzen wir Auswertungsinstrumente ein, die uns eine bedarfsgerechte Kommunikation und Werbung einschliesslich Markt- und Meinungsforschung ermöglichen.
Zur Begründung und Durchführung der Geschäftsbeziehung und auch sonst nutzen wir grundsätzlich keine vollautomatisierte automatische Entscheidungsfindung (wie etwa in Art. 22 DSGVO geregelt). Sollten wir solche Verfahren in Einzelfällen einsetzen, werden wir Sie hierüber gesondert informieren, sofern dies gesetzlich vorgegeben ist und Sie über die damit zusammenhängenden Rechte aufklären.
10. Kommunikation per E-Mail und/oder Newsletter
Möchte der Kunde einen auf der Website des Providers angebotenen Newsletter beziehen, benötigt der Provider eine E-Mail-Adresse und sonstige Informationen, welche die Überprüfung gestatten, dass die angegebene E-Mail-Adresse korrekt ist und der Kunde mit dem Empfang des Newsletters einverstanden ist ("double-opt-in" Verfahren).
Mit dem Newsletter erhält der Kunde regelmässig Empfehlungen und Angebote, die ihn interessieren könnten. Dazu erhebt und bearbeitet der Provider Personendaten betreffend dem Nutzungsverhalten des Kunden auf der Website, in der Software bexio und in Bezug auf die Nutzung des Newsletters (z.B. ob der Kunde den Newsletter öffnet oder auf welche Web-URL-Links er klickt). Der Provider wertet diese Daten für statistische Zwecke aus, um den Inhalt der Newsletter besser auf die Interessen der Kunden abzustimmen.
Die Bearbeitung der in das Newsletter-Anmeldeformular eingegebenen Personendaten erfolgt gestützt auf die Einwilligung des Kunden, welche er jederzeit für die Zukunft widerrufen kann. Der Widerruf erfolgt über den «unsubscribe»-Link im Newsletter. Die erhobenen Personendaten werden für die inhaltliche Gestaltung und den Versand der Newsletter verwendet.
Der Provider speichert die von den Kunden zum Zwecke des Newsletter-Bezugs hinterlegten Personendaten, bis sich der Kunde vom Newsletter abmeldet.
11. Dauer der Speicherung
Wir verarbeiten und speichern Ihre Personendaten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder sonst die mit der Bearbeitung verfolgten Zwecke erforderlich ist, d.h. also zum Beispiel für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäss den gesetzlichen Aufbewahrungs- und Dokumentationspflichten. Dabei ist es möglich, dass Personendaten für die Zeit aufbewahrt werden, in der Ansprüche gegen unser Unternehmen geltend gemacht werden können und soweit wir anderweitig gesetzlich dazu verpflichtet sind oder berechtigte Geschäftsinteressen dies erfordern (z.B. für Beweis- und Dokumentationszwecke). Sobald Ihre Personendaten für die oben genannten Zwecke nicht mehr erforderlich sind, werden sie grundsätzlich und soweit möglich gelöscht oder anonymisiert. Für betriebliche Daten (z.B. Systemprotokolle, Logs), gelten grundsätzliche kürzere Aufbewahrungsfristen von zwölf Monaten oder weniger.
12. Auskunft, Berichtigung, Löschung, Sperrung, Einwilligung
In Bezug auf die personenbezogenen Daten haben die Kunden nachfolgende Rechte gemäss DSG (insb. Art. 25 ff. DSG), respektive DSGVO (insb. Art. 12-23 DSGVO). Im Grundsatz gewährt der Provider die in der DSGVO enthaltenen Rechte auch den Schweizer Kunden. Der Provider behält sich jedoch eine abweichende Beurteilung im Einzelfall vor.
- das Recht auf Auskunft;
- das Recht auf Berichtigung;
- das Recht auf Löschung;
- das Recht auf Einschränkung der Verarbeitung;
- das Recht auf Datenübertragbarkeit; sowie
- das Recht auf Widerspruch.
Bitte beachten Sie aber, dass wir uns vorbehalten, unsererseits die gesetzlich vorgesehenen Einschränkungen geltend zu machen, etwa wenn wir zur Aufbewahrung oder Bearbeitung gewisser Daten verpflichtet sind, daran ein überwiegendes Interesse haben (soweit wir uns darauf berufen dürfen) oder sie für die Geltendmachung von Ansprüchen benötigen. Falls für Sie Kosten anfallen, werden wir Sie vorab informieren. Beachten Sie, dass die Ausübung dieser Rechte im Konflikt zu vertraglichen Abmachungen stehen kann und dies Folgen wie z.B. die vorzeitige Vertragsauflösung oder Kostenfolgen haben kann. Wir werden Sie diesfalls vorgängig informieren, wo dies nicht bereits vertraglich geregelt ist.
Die Ausübung solcher Rechte setzt in der Regel voraus, dass Sie Ihre Identität eindeutig nachweisen (z.B. durch eine Ausweiskopie, wo Ihre Identität sonst nicht klar ist bzw. verifiziert werden kann). Zur Geltendmachung Ihrer Rechte können Sie uns unter der in Ziffer 1 angegebenen Adresse kontaktieren.
Jede betroffene Person hat überdies das Recht, ihre Ansprüche gerichtlich durchzusetzen oder bei der zuständigen Datenschutzbehörde eine Beschwerde einzureichen. Die zuständige Datenschutzbehörde der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (http://www.edoeb.admin.ch). Der Provider nimmt selbstverständlich gerne vorgängig zu einer Beschwerde die Fragen und Wünsche der Kunden entgegen. Hierzu kann der Kunde den Provider schriftlich oder per E-Mail ([email protected]) kontaktieren.
Soweit der Kunde im Zusammenhang mit den Diensten des Providers um die Erteilung einer Einwilligung gebeten wird, erteilt er diese Einwilligung durch Anklicken der entsprechenden Checkbox. In der Folge ist der Provider berechtigt, die personenbezogenen Daten des Kunden entsprechend zu erheben, zu bearbeiten, zu nutzen und weiterzugeben.
Der Kunde kann seine Einwilligung selbstverständlich jederzeit widerrufen, ohne dass die Rechtmässigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Bearbeitung berührt wird. Der Widerruf kann schriftlich an die eingangs erwähnte Adresse des Providers gerichtet werden. Es genügt jedoch auch eine E-Mail an die Adresse [email protected]. Einige der Dienste und Funktionen werden dem Kunden danach jedoch nicht mehr offenstehen.
13. Links zu anderen Websites
Die Website des Providers enthält Hyperlinks zu Websites von Dritten, die nicht durch den Provider betrieben oder kontrolliert werden. Für deren Inhalt sowie Datenschutz-Praktiken ist der Provider nicht verantwortlich.
14. Änderungen
Wir können diese Datenschutzerklärung jederzeit ohne Vorankündigung anpassen. Es gilt die jeweils aktuelle, auf unserer Website publizierte Fassung. Soweit die Datenschutzerklärung Teil einer Vereinbarung mit Ihnen ist, werden wir Sie im Falle einer Aktualisierung über die Änderung per E-Mail, über das bexio-Konto oder auf andere geeignete Weise informieren.
bexio AG
Alte Jonastrasse 24
8640 Rapperswil
Schweiz