Datenschutzerklärung

Einleitung

Eine Nutzung der Internetseiten der ELIZA AG ist grundsätzlich ohne jede Angabe personenbezogener Daten möglich. Sofern eine betroffene Person besondere Services unseres Unternehmens über unsere Internetseite in Anspruch nehmen möchte, könnte jedoch eine Verarbeitung personenbezogener Daten erforderlich werden. Ist die Verarbeitung personenbezogener Daten erforderlich und besteht für eine solche Verarbeitung keine gesetzliche Grundlage, holen wir generell eine Einwilligung der betroffenen Person ein.

Als schweizerisches Unternehmen ohne Niederlassungen im Ausland sind wir den geltenden Datenschutzbestimmungen und Gesetzen der Schweiz verpflichtet. Um auch Kunden aus der Europäischen Union (EU) die Nutzung unserer Dienstleistungen zu ermöglichen, halten wir uns zudem an die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG («Datenschutz-Grundverordnung», nachfolgend «DSGVO»). In diesem Zusammenhang weisen wir darauf hin, dass für ELIZA AG die Verpflichtung zur Benennung eines Datenschutzbeauftragten gemäss DSGVO Art. 37 nicht besteht. Die Rechtsgrundlage der Datenverarbeitung ist Art. 6 Abs. 1 lit. f DSGVO.

Den Schutz Ihrer persönlichen Daten nehmen wir sehr ernst. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend der gesetzlichen Datenschutzvorschriften sowie dieser Datenschutzerklärung. Die Nutzung unserer Webseite ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten (beispielsweise Name Anschrift oder E-Mail-Adressen) erhoben werden, erfolgt dies, soweit möglich, stets auf freiwilliger Basis. Diese Daten werden ohne Ihre ausdrückliche Zustimmung nur an Dritte weitergegeben sofern dies zur Sicherstellung der Ihnen gegenüber vereinbarten Leistungen erforderlich ist. Wir weisen darauf hin, dass die Datenübertragung im Internet (z.B. bei der Kommunikation per E-Mail) Sicherheitslücken aufweisen kann. Ein lückenloser Schutz der Daten vor dem Zugriff durch Dritte ist nicht möglich.

1. Verantwortlicher und Kontakt

Verantwortlicher

ELIZA AG Dammweg 9 CH-3013 Bern Schweiz

E-Mail: hello@eliza.swiss Geschäftsführer: Bernhard Bühlmann

Datenschutzbeauftragter und EU-Vertreter gemäss Art. 27 DSGVO

EasyDataSec GmbH Maximilian Schneider Gerbergasse 3 72534 Hayingen Deutschland

E-Mail: info@easydatasec.de Telefon: 015142045299

2. Geltungsbereich und anwendbares Recht

Diese Datenschutzerklärung informiert Sie über die Verarbeitung Ihrer personenbezogenen Daten durch die ELIZA AG.

Anwendbare Rechtsgrundlagen:

• Schweizerisches Datenschutzgesetz (revDSG)
• EU-Datenschutz-Grundverordnung (DSGVO)

Die DSGVO findet Anwendung, wenn wir Dienstleistungen an Personen in der EU anbieten, oder deren Verhalten analysieren.

3. Kategorien verarbeiteter Personendaten

Wir verarbeiten folgende Personendaten über Website-Besucher, Interessenten, Kunden, Geschäftspartner und Newsletter-Abonnenten:

• Stammdaten: Name, Unternehmen, Position, Geschäftsadresse, E-Mail, Telefon, Sprache
• Kommunikationsdaten: E-Mail-Inhalt, Nachrichten, Metadaten
• Vertragsdaten: Vertragsdetails, Rechnungen, Zahlungsdaten, Korrespondenz
• Technische Daten: IP-Adresse (gekürzt), Browser, Betriebssystem, Referrer-URL, Zugriffszeiten, Geräteinformationen
• Nutzungsdaten: Besuchte Seiten, Verweildauer, Klicks, Interaktionen
• Marketing-Daten: Newsletter-Präferenzen, Öffnungs- und Klickverhalten

4. Datenverarbeitung beim Websitebesuch

Beim Besuch unserer Website erfasst unser Webserver automatisch technische Informationen:

Erfasste Daten:

IP-Adresse (gekürzt/anonymisiert), Datum/Uhrzeit des Zugriffs, aufgerufene Seiten, Browsertyp, Betriebssystem, Referrer-URL, HTTP-Statuscodes

Zweck:

Technische Bereitstellung, Sicherheit, Fehleranalyse, Missbrauchsprävention, Optimierung

Rechtsgrundlage:

Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 6 Abs. 2 revDSG) – technisch erforderlich für Websitebetrieb und IT-Sicherheit

Speicherdauer:

Maximal 90 Tage

5. Hosting und technische Dienstleister

Netlify (Website-Hosting)

Anbieter: Netlify, Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA

Verarbeitete Daten: IP-Adresse, HTTP-Anfragedaten, technische Zugangsdaten

Zweck: Bereitstellung, Betrieb und Sicherheit der Website

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) / Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

Datenübermittlung USA: Abgesichert durch Standardvertragsklauseln (SCCs) und EU-U.S. Data Privacy Framework. Trotz dieser Garantien bestehen Restrisiken durch mögliche Zugriffe von US-Behörden (siehe Ziffer 13).

Auftragsverarbeitung: Data Processing Agreement vorhanden

Weitere Informationen: https://www.netlify.com/privacy/

6. Cookies und Tracking-Technologien

6.1 Cookie-Kategorien

Technisch notwendige Cookies:

Session-Cookies, Cookie-Consent-Speicherung (CCM19), Sicherheits-Cookies

• Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
• Keine Einwilligung erforderlich

Analyse- und Marketing-Cookies:

Google Analytics 4, Tracking von Drittdiensten (Google Maps, Vimeo)

• Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG)
• Einwilligung über Cookie-Banner erforderlich

Hinweis: Plausible Analytics arbeitet ohne Cookies und ohne personenbezogene Daten, daher ist hierfür keine Einwilligung erforderlich.

6.2 Cookie-Consent-Management (CCM19)

Wir nutzen CCM19 (Papoo Software & Media GmbH, Deutschland) zur Verwaltung Ihrer Cookie-Einstellungen. Beim ersten Besuch können Sie über das Cookie-Banner wählen: “Alle akzeptieren”, “Nur notwendige” oder “Individuelle Einstellungen”.

Änderung Ihrer Einstellungen: Jederzeit über den Link “Cookie-Einstellungen” im Footer oder durch Löschen der Cookies in Ihrem Browser.

7. Analyse-Tools

7.1 Google Analytics 4

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland Muttergesellschaft: Google LLC, USA

Funktionsweise: Google Analytics 4 erfasst ereignisbasiert Ihr Nutzungsverhalten und erstellt Berichte über Website-Aktivitäten. GA4 nutzt Machine Learning und speichert IP-Adressen nicht vollständig – das letzte Oktett wird bereits bei der Erfassung gelöscht.

Verarbeitete Daten:

• IP-Adresse (verkürzt)
• Geräteinformationen (Typ, OS, Browser, Auflösung)
• Interaktionsdaten (Seitenaufrufe, Klicks, Scrollverhalten)
• Ungefährer Standort (Land/Region auf Basis verkürzter IP)
• Zeitstempel, Referrer-Informationen
• Client-ID (zufällige Kennung zur Wiedererkennung)
• Google-Signals-Daten (sofern aktiviert und eingewilligt)

Zweck: Analyse des Nutzerverhaltens, Website-Optimierung, Verbesserung unseres Angebots

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG)

Datenübermittlung USA: Standardvertragsklauseln, EU-U.S. Data Privacy Framework, Ihre Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Risiken siehe Ziffer 13.

Speicherdauer: 14 Monate (automatische Löschung), aggregierte Berichte länger

Auftragsverarbeitung: Data Processing Amendment vorhanden

Widerspruch/Opt-Out:

• Widerruf über Cookie-Einstellungen
• Browser-Add-on: https://tools.google.com/dlpage/gaoptout

Weitere Informationen:

• Datenschutz: https://policies.google.com/privacy
• Datennutzung: https://policies.google.com/technologies/partner-sites

7.2 Plausible Analytics

Anbieter: Plausible Insights OÜ, Västriku tn 2, 50403 Tartu, Estland

Funktionsweise: Plausible erfasst anonyme, aggregierte Statistiken ohne individuelle Nutzerprofile. Keine Cookies, keine IP-Speicherung, kein Cross-Site-Tracking, keine Weitergabe an Werbenetzwerke.

Verarbeitete Daten: Anonymisierte Nutzungsstatistiken, aggregierte Daten zu Seitenaufrufen/Verweildauer/Referrern, grobe geografische Infos (Land/Region), Gerätetyp und Browser (ohne IDs)

Zweck: Anonyme Website-Analyse zur Optimierung

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 6 Abs. 2 revDSG)

Berechtigtes Interesse: Da Plausible keine personenbezogenen Daten speichert (keine IP-Adressen, keine Cookies, keine individuellen Nutzerprofile), liegt unser berechtigtes Interesse in der anonymen statistischen Analyse unserer Website zur Verbesserung unseres Angebots ohne Beeinträchtigung Ihrer Privatsphäre.

Hinweis: Aufgrund der vollständig anonymisierten Verarbeitung ist für Plausible Analytics keine separate Einwilligung über den Cookie-Banner erforderlich.

Datenverarbeitung: Ausschliesslich in der EU (Server in Deutschland)

Weitere Informationen: https://plausible.io/privacy

8. Newsletter und Marketing

HubSpot

Anbieter: HubSpot, Inc., 25 First Street, 2nd Floor, Cambridge, MA 02141, USA

Verarbeitete Daten: E-Mail-Adresse, Name, Unternehmen/Position, Anmeldezeitpunkt, IP-Adresse bei Anmeldung, Öffnungs- und Klickverhalten, weitere freiwillige Angaben

Zweck: Newsletter-Versand, Informationen zu Dienstleistungen, Performance-Analyse, Personalisierung

Rechtsgrundlage:

• Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG) für neue Kontakte
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) für Bestandskunden im B2B-Bereich bei Direktwerbung für eigene ähnliche Produkte/Dienstleistungen (soweit kein Widerspruch)

Einwilligung: Double-Opt-in-Verfahren – nach Anmeldung erhalten Sie eine Bestätigungs-E-Mail mit Bestätigungslink.

Datenübermittlung USA: Standardvertragsklauseln, EU-U.S. Data Privacy Framework, Ihre Einwilligung (Art. 49 Abs. 1 lit. a DSGVO). Risiken siehe Ziffer 13.

Speicherdauer: Bis zur Abmeldung; danach Löschung (ausser rechtliche Aufbewahrungspflichten). IP-Adresse und Anmeldedaten: 3 Jahre nach Abmeldung (Nachweispflicht).

Abmeldung:

• Abmeldelink in jeder E-Mail
• E-Mail an hello@eliza.swiss
• Account-Einstellungen (soweit vorhanden)

Auftragsverarbeitung: Vorhanden

Weitere Informationen: https://legal.hubspot.com/de/privacy-policy

9. Eingebundene Drittdienste

9.1 Google Maps

Anbieter: Google Ireland Limited, Dublin 4, Irland

Verarbeitete Daten: IP-Adresse, Standortdaten (soweit aktiviert), Browser-/Geräteinformationen, Cookie-Daten

Zweck: Darstellung interaktiver Karten

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG)

Einbindung: Nur nach Zustimmung über Cookie-Banner

Datenübermittlung USA: Standardvertragsklauseln, EU-U.S. Data Privacy Framework, Ihre Einwilligung (Art. 49 Abs. 1 lit. a DSGVO)

Weitere Informationen: https://policies.google.com/privacy

9.2 Vimeo

Anbieter: Vimeo, Inc., 555 West 18th Street, New York, NY 10011, USA

Verarbeitete Daten: IP-Adresse, Browser-/Geräteinformationen, Cookie-Daten, Wiedergabeverhalten

Zweck: Darstellung und Wiedergabe von Videos

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG)

Einbindung: Nur nach Zustimmung über Cookie-Banner

Datenübermittlung USA: Standardvertragsklauseln, Ihre Einwilligung (Art. 49 Abs. 1 lit. a DSGVO)

Weitere Informationen: https://vimeo.com/privacy

9.3 Social Media Profile

Wir unterhalten Profile auf LinkedIn, Instagram, Facebook und YouTube.

Unsere Profile:

• LinkedIn: https://www.linkedin.com/company/eliza-swiss/
• Instagram: https://www.instagram.com/eliza.swiss/
• YouTube: https://www.youtube.com/channel/UCNhNOAUKuh8beA0yvOMfDJg
• Facebook: https://www.facebook.com/ELIZA.SWISS.AG/

Verarbeitung auf den Plattformen:

Die Plattformen verarbeiten Ihre Daten nach ihren eigenen Datenschutzbestimmungen. Wir haben darauf nur begrenzten Einfluss.

Unsere Verarbeitung:

Wir erhalten aggregierte Statistiken (Seitenaufrufe, demografische Daten, Interaktionsraten) und können mit Ihnen über die Plattformen kommunizieren.

Gemeinsame Verantwortlichkeit (Art. 26 DSGVO):

Facebook/Instagram (Meta Platforms): Für Insights-Daten besteht gemeinsame Verantwortlichkeit mit Meta Ireland Limited. Vereinbarung: https://www.facebook.com/legal/terms/page_controller_addendum

Meta ist primär verantwortlich für Betroffenenrechte, Sicherheitsmassnahmen und Meldepflichten. Wir sind verantwortlich für Information über die Datenverarbeitung.

LinkedIn: Für Page-Insights besteht gemeinsame Verantwortlichkeit mit LinkedIn Ireland Unlimited Company. Details: https://legal.linkedin.com/pages-joint-controller-addendum

YouTube: Verarbeitung durch Google Ireland Limited nach deren Datenschutzbestimmungen.

Rechtsgrundlage für unsere Nutzung: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) – Öffentlichkeitsarbeit, Kundenkommunikation, Marketing

Datenübermittlung USA: Alle Plattformen können Daten in die USA übermitteln (Standardvertragsklauseln, EU-U.S. Data Privacy Framework).

Ihre Rechte: Für Auskünfte zur Verarbeitung durch die Plattformen wenden Sie sich bitte direkt an diese. Bei Fragen zu unserer Nutzung: hello@eliza.swiss

Datenschutzhinweise der Plattformen:

• LinkedIn: https://www.linkedin.com/legal/privacy-policy
• Instagram/Facebook: https://www.facebook.com/privacy/policy
• YouTube/Google: https://policies.google.com/privacy

10. Kontaktaufnahme

10.1 Kontaktformular

Verarbeitete Daten: Name, E-Mail-Adresse, Unternehmen/Position, Ihre Nachricht, Zeitstempel, IP-Adresse (Spam-Prävention)

Zweck: Bearbeitung Ihrer Anfrage, Dokumentation, Spam-Prävention

Rechtsgrundlage:

• Vertragsanbahnung (Art. 6 Abs. 1 lit. b DSGVO) bei Anfragen zu Vertragsabschluss
• Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO) bei allgemeinen Anfragen – effektive Bearbeitung und Kundenkommunikation

Speicherdauer: 24 Monate nach Bearbeitung (ohne daraus entstandene Geschäftsbeziehung)

10.2 E-Mail-Kommunikation

Verarbeitete Daten: E-Mail-Adresse, Inhalt, Metadaten (Datum, Uhrzeit, Betreff)

Rechtsgrundlage: Vertragsanbahnung/-erfüllung (Art. 6 Abs. 1 lit. b DSGVO) / Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)

Speicherdauer:

• E-Mails zu Verträgen: 10 Jahre nach Ende des Geschäftsjahres (Art. 958f Schweizer OR)
• Sonstige E-Mails: 24 Monate

11. Zwecke und Rechtsgrundlagen der Verarbeitung

11.1 Zwecke

Wir verarbeiten Ihre Daten zu folgenden Zwecken:

Bereitstellung der Website: Technischer Betrieb, Funktionsfähigkeit, Fehlerdiagnose

Kommunikation und Kundenbetreuung: Beantwortung von Anfragen, Support, Beratung, Projektkommunikation, Geschäftsbeziehungspflege

Vertragsabwicklung: Anbahnung, Abschluss und Durchführung von Verträgen, Rechnungsstellung, Zahlungsabwicklung

Marketing und Information: Newsletter-Versand (mit Einwilligung oder bei Bestandskunden im B2B-Bereich), Information über Dienstleistungen, Personalisierung

Analyse und Optimierung: Analyse des Nutzerverhaltens, Verbesserung unserer Angebote, Produktentwicklung

Sicherheit und Missbrauchsprävention: Schutz vor Cyberangriffen, Betrug, Gewährleistung der IT-Sicherheit

Rechtliche Verpflichtungen: Erfüllung gesetzlicher Aufbewahrungspflichten, Einhaltung rechtlicher Anforderungen, Behördenzusammenarbeit (soweit verpflichtet)

Rechtswahrung: Geltendmachung und Verteidigung rechtlicher Ansprüche

11.2 Rechtsgrundlagen nach DSGVO

Art. 6 Abs. 1 lit. a DSGVO – Einwilligung Newsletter, nicht notwendige Cookies/Tracking, Drittdienste (Google Maps, Vimeo)

Art. 6 Abs. 1 lit. b DSGVO – Vertragserfüllung Vertragsabwicklung, Vertragsanbahnung, Bereitstellung unserer Dienstleistungen

Art. 6 Abs. 1 lit. c DSGVO – Rechtliche Verpflichtung Steuerrechtliche Pflichten, gesetzliche Aufbewahrung

Art. 6 Abs. 1 lit. f DSGVO – Berechtigtes Interesse Betrieb und Sicherheit der Website, IT-Sicherheit, Missbrauchsprävention, Geschäftskommunikation mit Bestandskunden (B2B-Direktmarketing), Rechtswahrung

Unsere berechtigten Interessen:

• Technisch einwandfreier und sicherer Websitebetrieb
• Abwehr von Cyberangriffen und Sicherheitsbedrohungen
• Effektive Kundenkommunikation und Geschäftsbeziehungspflege
• Optimierung unserer Dienstleistungen
• Durchsetzung und Verteidigung rechtlicher Ansprüche
• Direktmarketing an Geschäftskontakte im B2B-Bereich (bei bestehender Geschäftsbeziehung, soweit kein Widerspruch)

11.3 Rechtsgrundlagen nach revDSG

Nach Schweizer Recht ist die Datenverarbeitung erlaubt, wenn ein Rechtfertigungsgrund vorliegt (Einwilligung, überwiegendes Interesse, Gesetz) und die Datenschutzgrundsätze eingehalten werden.

12. Weitergabe von Personendaten

12.1 Empfängerkategorien

Wir geben Ihre Daten nur weiter, wenn erforderlich und rechtlich zulässig:

Auftragsverarbeiter (Art. 28 DSGVO / Art. 9 revDSG): IT-Dienstleister (Hosting, Cloud), Marketing-Dienstleister (E-Mail, Analytics), technische Dienstleister (Support, Wartung)

Verarbeitung ausschliesslich nach unseren Weisungen, vertraglich zur Datenschutzeinhaltung verpflichtet

Geschäftspartner: Kooperationspartner (gemeinsame Projekte), Subunternehmer (Leistungserbringung)

Weitergabe nur im erforderlichen Umfang

Behörden: Steuerbehörden, Strafverfolgungsbehörden, Aufsichtsbehörden

Weitergabe nur bei rechtlicher Verpflichtung

Rechtsnachfolger: Bei Unternehmensübertragung, Verkauf oder Fusion (Rechtsgrundlage: berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO)

12.2 Keine Weitergabe zu Werbezwecken

Wir verkaufen oder vermieten Ihre Daten nicht an Dritte für deren Marketingzwecke.

13. Datenübermittlung ins Ausland

13.1 Grundsatz

Wir speichern und verarbeiten Ihre Daten grundsätzlich in der Schweiz und im EWR.

13.2 Übermittlung in Drittländer

In bestimmten Fällen werden Daten in Länder ausserhalb der Schweiz/EWR übermittelt, insbesondere in die USA:

• Netlify (Hosting)
• Google (Analytics, Maps, YouTube)
• HubSpot (Newsletter)
• Vimeo (Videos)
• Social Media (LinkedIn, Meta, YouTube)

13.3 Garantien für Drittlandübermittlungen

Standardvertragsklauseln (SCCs): EU-Kommission und EDÖB-genehmigte Vertragsklauseln verpflichten Empfänger zur Einhaltung europäischer/schweizerischer Datenschutzstandards.

EU-U.S. Data Privacy Framework: Einige US-Anbieter (Google, HubSpot, Meta) sind zertifiziert und gewährleisten angemessenes Schutzniveau.

Einwilligung (Art. 49 Abs. 1 lit. a DSGVO): Bei Analyse-Tools, Newsletter und Drittdiensten stützen wir die Übermittlung zusätzlich auf Ihre ausdrückliche Einwilligung nach Information über die Risiken.

13.4 Risiken bei USA-Übermittlungen

Wichtiger Hinweis gemäss Art. 13 Abs. 1 lit. f DSGVO:

Trotz der oben genannten Garantien (Standardvertragsklauseln, Data Privacy Framework) können bei Datenübermittlungen in Drittländer, insbesondere die USA, Restrisiken verbleiben:

Zugriff durch Behörden: Behörden in Drittländern können unter bestimmten Umständen auf Ihre Daten zugreifen, ohne dass Sie davon erfahren oder sich wirksam dagegen wehren können.

Eingeschränkte Rechtsschutzmöglichkeiten: Als Nicht-Staatsangehöriger des Drittlands haben Sie möglicherweise nur eingeschränkte rechtliche Möglichkeiten, gegen einen solchen Zugriff vorzugehen.

Unterschiedliches Schutzniveau: Das Datenschutzniveau in Drittländern kann vom Schutzniveau der EU/Schweiz abweichen und möglicherweise geringer sein.

Ihr Widerspruchsrecht: Sie haben das Recht, der Übermittlung in Drittländer zu widersprechen (siehe Ziffer 17.7). Dies kann jedoch dazu führen, dass bestimmte Funktionen unserer Website nicht mehr verfügbar sind (z.B. Analyse-Tools, Videos, Karten).

13.5 Weitere Informationen

Kopien der Standardvertragsklauseln und weitere Informationen zu Garantien: hello@eliza.swiss

Informationsquellen:

• EU-SCCs: https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_de
• EU-U.S. Data Privacy Framework: https://www.dataprivacyframework.gov/
• Schweizer Angemessenheitsbeschlüsse: https://www.edoeb.admin.ch/

14. Speicherdauer

Wir speichern Ihre Daten nur so lange, wie für die Zwecke erforderlich oder gesetzliche Aufbewahrungsfristen vorschreiben.

Konkrete Speicherfristen:

Löschung erfolgt, wenn:

• der Zweck entfallen ist
• Sie Ihre Einwilligung widerrufen haben (soweit keine andere Rechtsgrundlage besteht)
• Sie Widerspruch eingelegt haben (soweit keine vorrangigen Gründe bestehen)
• die Verarbeitung unrechtmässig war
• eine rechtliche Verpflichtung zur Löschung besteht

Längere Aufbewahrung bei:

• Gesetzlichen Aufbewahrungspflichten (Buchhaltung, Steuern)
• Verjährungsfristen für Rechtsansprüche (Schweiz: i.d.R. 10 Jahre)
• Beweiszwecken in Rechtsstreitigkeiten

15. Profiling und automatisierte Entscheidungen

15.1 Profiling

Wir setzen Profiling in folgenden Bereichen ein:

Website-Analyse: Analyse des Nutzungsverhaltens (besuchte Seiten, Verweildauer, Interaktionen) zur Optimierung unserer Inhalte (Google Analytics 4).

Newsletter-Marketing: Auswertung der Interaktion mit E-Mails (Öffnungsraten, Klicks) zur besseren Abstimmung zukünftiger Inhalte.

Zweck: Verbesserung der Nutzererfahrung, Personalisierung, Optimierung unserer Kommunikation

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO / Art. 31 Abs. 1 revDSG)

Ihr Widerspruchsrecht: Sie können gegen Profiling Widerspruch einlegen (siehe Ziffer 17.7).

15.2 Automatisierte Einzelentscheidungen

Wir treffen keine ausschliesslich automatisierten Entscheidungen mit rechtlicher Wirkung oder erheblicher Beeinträchtigung (Art. 22 DSGVO / Art. 21 revDSG). Alle relevanten Entscheidungen werden von Mitarbeitenden getroffen oder überprüft.

16. Datensicherheit

Wir schützen Ihre Daten durch angemessene technische und organisatorische Massnahmen (TOM) gegen unberechtigten Zugriff, Verlust, Missbrauch oder Zerstörung:

• Verschlüsselung: TLS-Verschlüsselung (HTTPS) für sichere Datenübertragung, Verschlüsselung sensibler Daten bei Speicherung
• Zugriffskontrolle: Authentifizierung, Passwortschutz, Zwei-Faktor-Authentifizierung (wo möglich), rollenbasierte Zugriffsrechte, Zugriffsprotokollierung
• Netzwerksicherheit: Firewalls, Intrusion-Detection, regelmässige Updates und Patches, Monitoring
• Datensicherung: Regelmässige Backups, sichere Aufbewahrung, getestete Wiederherstellung
• Organisatorisch: Datenschutz- und IT-Sicherheitsrichtlinien, Mitarbeiterschulungen, Auftragsverarbeitungsverträge, Vertraulichkeitsvereinbarungen

Meldung von Datenschutzverletzungen:

Bei schwerwiegenden Verletzungen melden wir diese unverzüglich (binnen 72 Stunden) an die Aufsichtsbehörde (Art. 33 DSGVO / Art. 24 revDSG). Bei hohem Risiko für Ihre Rechte informieren wir auch Sie direkt (Art. 34 DSGVO / Art. 24 Abs. 5 revDSG).

Ihre Mithilfe:

Behandeln Sie Zugangsdaten vertraulich, nutzen Sie sichere Passwörter, informieren Sie uns bei Missbrauchsverdacht.

17. Ihre Rechte

17.1 Übersicht

Sie haben folgende Rechte bezüglich Ihrer Daten:

1. Auskunftsrecht (Art. 15 DSGVO / Art. 25 revDSG)
2. Recht auf Berichtigung (Art. 16 DSGVO / Art. 32 Abs. 1 revDSG)
3. Recht auf Löschung (Art. 17 DSGVO / Art. 32 Abs. 2 revDSG)
4. Recht auf Einschränkung (Art. 18 DSGVO)
5. Recht auf Datenübertragbarkeit (Art. 20 DSGVO / Art. 28 revDSG)
6. Widerspruchsrecht (Art. 21 DSGVO / Art. 30 Abs. 2 lit. b revDSG)
7. Recht auf Widerruf der Einwilligung (Art. 7 Abs. 3 DSGVO / Art. 31 Abs. 3 revDSG)

17.2 Auskunftsrecht

Sie haben das Recht zu erfahren, ob und welche Daten wir über Sie verarbeiten, einschliesslich: Zwecke, Kategorien der Daten, Empfänger, Speicherdauer, Ihre Rechte, Beschwerderecht, Herkunft der Daten, Informationen über automatisierte Entscheidungen/Profiling, Garantien bei Drittlandübermittlungen.

Kostenlos: Die erste Auskunft ist grundsätzlich kostenlos.

Frist: Innerhalb eines Monats (DSGVO) bzw. 30 Tagen (revDSG).

17.3 Recht auf Berichtigung

Sie können unrichtige Daten berichtigen und unvollständige Daten vervollständigen lassen.

17.4 Recht auf Löschung

Sie haben Anspruch auf Löschung, wenn:

• die Daten für die Zwecke nicht mehr erforderlich sind
• Sie Ihre Einwilligung widerrufen haben und keine andere Rechtsgrundlage besteht
• Sie Widerspruch eingelegt haben und keine vorrangigen Gründe bestehen
• die Daten unrechtmässig verarbeitet wurden
• eine rechtliche Verpflichtung zur Löschung besteht

Ausnahmen: Rechtliche Verpflichtungen, Geltendmachung von Rechtsansprüchen, öffentliches Interesse.

17.5 Recht auf Einschränkung (nur DSGVO)

Sie können die Einschränkung verlangen, wenn Sie die Richtigkeit bestreiten, die Verarbeitung unrechtmässig ist (aber Löschung ablehnen), wir die Daten nicht mehr benötigen (Sie aber zur Rechtswahrung) oder Sie Widerspruch eingelegt haben (für die Dauer der Prüfung).

17.6 Recht auf Datenübertragbarkeit

Sie haben das Recht, Ihre Daten in strukturiertem, gängigem und maschinenlesbarem Format zu erhalten und an einen anderen Verantwortlichen zu übermitteln, wenn die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt.

17.7 Widerspruchsrecht

Widerspruch aus Gründen Ihrer besonderen Situation (Art. 21 Abs. 1 DSGVO): Sie können jederzeit gegen die Verarbeitung auf Basis berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) Widerspruch einlegen. Wir verarbeiten dann nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe nachweisen, die Ihre Interessen überwiegen, oder die Verarbeitung dient der Rechtswahrung.

Widerspruch gegen Direktwerbung (Art. 21 Abs. 2 DSGVO): Sie können jederzeit gegen Verarbeitung zu Direktwerbungszwecken widersprechen. Nach Ihrem Widerspruch stellen wir die Verarbeitung zu diesem Zweck ein.

Widerspruch gegen Profiling (Art. 30 Abs. 2 lit. b revDSG): Nach Schweizer Recht können Sie der Verwendung Ihrer Daten für Profiling widersprechen.

17.8 Widerruf der Einwilligung

Sie können erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft widerrufen:

Widerrufsmöglichkeiten:

• Newsletter: Abmeldelink in jeder E-Mail oder E-Mail an hello@eliza.swiss
• Cookies/Tracking: Cookie-Einstellungen über Footer-Link anpassen
• Sonstige Einwilligungen: E-Mail an hello@eliza.swiss

Folgen: Die Rechtmässigkeit der bis zum Widerruf erfolgten Verarbeitung bleibt unberührt.

17.9 Geltendmachung Ihrer Rechte

Kontakt:

Per E-Mail: hello@eliza.swiss

Per Post: ELIZA AG z.H. Datenschutz Dammweg 9 CH-3013 Bern Schweiz

Identitätsnachweis: Zu Ihrem Schutz können wir einen Identitätsnachweis (z.B. Ausweiskopie) verlangen.

Bearbeitungszeit:

• DSGVO: Unverzüglich, spätestens 1 Monat (Verlängerung um 2 Monate bei Komplexität möglich, Art. 12 Abs. 3)
• revDSG: In der Regel 30 Tage (Art. 25 Abs. 4)

Einschränkungen: Ihre Rechte können eingeschränkt sein bei: Unverhältnismässigem Aufwand, gesetzlichen Aufbewahrungspflichten, Rechtswahrung, überwiegenden Interessen Dritter/der Öffentlichkeit, gesetzlichen Ausnahmen (z.B. Art. 23 DSGVO).

18. Beschwerderecht

Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde zu beschweren, wenn Sie der Ansicht sind, dass die Verarbeitung gegen Datenschutzrecht verstösst.

Zuständige Behörden

Für die Schweiz:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) Feldeggweg 1 CH-3003 Bern Schweiz

Tel: +41 58 462 43 95 E-Mail: info@edoeb.admin.ch Web: https://www.edoeb.admin.ch

Für die EU/EWR:

Sie können sich an die Datenschutzbehörde in dem EU-Mitgliedstaat Ihres Aufenthalts, Arbeitsplatzes oder des Orts des mutmasslichen Verstosses wenden.

Liste aller EU-Datenschutzbehörden: https://edpb.europa.eu/about-edpb/about-edpb/members_de

Beispiel Deutschland: Die zuständige Aufsichtsbehörde richtet sich nach Ihrem Wohn- oder Arbeitsort.

Für Baden-Württemberg: Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Baden-Württemberg Lautenschlagerstrasse 20 70173 Stuttgart Deutschland

Tel: +49 711 615541-0 E-Mail: poststelle@lfdi.bwl.de Web: https://www.baden-wuerttemberg.datenschutz.de

Für bundesweite Anliegen: Der Bundesbeauftragte für den Datenschutz und die Informationsfreiheit (BfDI) Graurheindorfer Str. 153 53117 Bonn Deutschland Web: https://www.bfdi.bund.de

Die Beschwerdemöglichkeit lässt Ihre anderen Rechte unberührt. Sie können auch gerichtlich gegen uns vorgehen oder uns aussergerichtlich kontaktieren.

19. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung zu ändern, um sie an geänderte Rechtslagen oder Änderungen unserer Dienstleistungen/Datenverarbeitung anzupassen.

Die jeweils aktuelle Datenschutzerklärung kann jederzeit auf der Website unter eliza.swiss von Ihnen abgerufen werden.