1. Verantwortliche Stelle

ASM Promissa GmbH
Eigerweg 3, 5443 Niederrohrdorf
E-Mail: info@asmpromissa.ch

2. Allgemeines zur Datenbearbeitung

Wir bearbeiten Personendaten gemäss revidiertem Schweizer Datenschutzgesetz (DSG, SR 235.1) und Datenschutzverordnung (DSV) sowie – soweit anwendbar – der EU-Datenschutzgrundverordnung (DSGVO).
Anwendbarkeit DSGVO: Gilt nur nach Marktortprinzip bei gezieltem Angebot an Personen in der EU oder Beobachtung ihres Verhaltens (Art. 3 Abs. 2 DSGVO).
IP-Adressen: behandeln wir als Personendaten (Art. 5 Abs. 1 DSG; Art. 4 Nr. 1 DSGVO).

3. Rechtsgrundlagen

• Einwilligung: freiwillig, informiert, widerrufbar, insb. bei besonders schützenswerten Daten / Profiling mit hohem Risiko (Art. 6 Abs. 6–7 DSG; Art. 7 DSGVO).
• Vertrag / vorvertragliche Massnahmen: (Art. 31 Abs. 2 lit. a DSG; Art. 6 Abs. 1 lit. b DSGVO).
• Gesetzliche Pflichten: (Art. 31 Abs. 2 lit. c DSG; Art. 6 Abs. 1 lit. c DSGVO).
• Überwiegendes/berechtigtes Interesse: u. a. IT-Sicherheit, Webserver-Logs, betriebliche Abläufe (Art. 31 Abs. 1–2 DSG; Art. 6 Abs. 1 lit. f DSGVO).
• Öffentliches Interesse: Einzelfälle (Art. 31 Abs. 2 lit. d DSG).

4. Erhebung und Zwecke

a) Webseitenbesuch (Server-Logs)
Datenkategorien: IP, Browser, OS, Zugriffszeit.
Zwecke: IT-Sicherheit, Stabilität.
Empfänger: Hosting-Provider (CH/EU/EWR).
Rechtsgrundlage: überwiegendes/berechtigtes Interesse (Art. 31 Abs. 1 DSG; Art. 6 Abs. 1 lit. f DSGVO).
Speicherdauer: max. 12 Monate.

b) Kontaktformular
Daten: Name, E-Mail, Nachricht.
Zweck: Bearbeitung der Anfrage.
Rechtsgrundlage: Vertrag/Anbahnung (Art. 31 Abs. 2 lit. a DSG; Art. 6 Abs. 1 lit. b DSGVO).
Löschung: 6–12 Monate (Art. 6 Abs. 4 DSG).

c) Bewerbungen
Daten: Stammdaten, Unterlagen.
Zweck: Bewerbungsprozess.
Rechtsgrundlage: Einwilligung & vorvertraglich (Art. 6 Abs. 6–7 DSG; Art. 6 Abs. 1 lit. a/b DSGVO).
Löschung: 6–12 Monate; bei Anstellung: Übernahme in Personalakte.

d) Kunden-/Vertragsdaten
Daten: Kontakt-, Vertrags-, Rechnungsdaten.
Zweck: Vertrag, Buchhaltung.
Empfänger: Treuhand/Buchhaltung (CH).
Rechtsgrundlage: Vertrag & Gesetz (Art. 31 Abs. 2 lit. a/c DSG).
Aufbewahrung: 10 Jahre (gesetzlich; Art. 6 Abs. 4 DSG).

5. Tools, Pixel, Plugins & Auslandsübermittlungen

Wir setzen folgende Dienste ein. Pro Tool nennen wir Staat(en), Garantie-Mechanismus (DPF/SCCs), Zusatzmassnahmen, Zwecke, Datenkategorien, Speicherdauer, Rechtsgrundlage und Profiling:

Google Analytics & Tag Manager (Google LLC, USA)
Zweck: Reichweitenmessung/Optimierung.
Daten: IP (gekürzt), Nutzungsverhalten, Gerätedaten.
Garantie: Swiss-U.S. DPF (sofern zertifiziert) oder SCCs (EU 2021-Version) mit Zusatzmassnahmen (IP-Anonymisierung, TLS-Verschlüsselung, Zugriffsbeschränkungen).
Speicherdauer: 24 Std.–2 Jahre.
Rechtsgrundlage: Einwilligung (Art. 6 Abs. 6 DSG).
Profiling: Standard-Marketing-Profiling, kein hohes Risiko.

Meta Pixel (Facebook/Instagram) (Meta Platforms, USA)
Zweck: Kampagnen-Messung.
Daten: Cookies, IP, Events.
Garantie: DPF oder SCCs 2021 + Verschlüsselung/Pseudonymisierung.
Speicherdauer: ca. 3 Monate.
Rechtsgrundlage: Einwilligung.
Profiling: möglich; hohes Risiko nur mit ausdrücklicher Einwilligung (Art. 6 Abs. 7 DSG).

TikTok Pixel (TikTok, USA / Singapur)
Zweck: Marketing-Tracking.
Daten: Klicks, Conversions, IP.
Garantie: SCCs 2021 + Zugriffsbeschränkungen.
Speicherdauer: ca. 3 Monate.
Rechtsgrundlage: Einwilligung.
Profiling: Standard-Marketing, kein hohes Risiko.

Hotjar (Hotjar Ltd., EU/Malta)
Zweck: Usability-Analyse.
Daten: Mausbewegungen, Klicks, Sessions (anonymisiert).
Garantie: EU-Hosting.
Speicherdauer: Session-basiert.
Rechtsgrundlage: Einwilligung.

Google Maps (Google LLC, USA)
Zweck: Standortkarte.
Daten: IP, Standort.
Garantie: DPF oder SCCs 2021.
Speicherdauer: ca. 6 Monate.
Rechtsgrundlage: Einwilligung.

reCAPTCHA (Google LLC, USA)
Zweck: Bot/Spam-Schutz (IT-Sicherheit).
Daten: IP, Mausbewegungen, Cookies.
Garantie: DPF oder SCCs 2021.
Rechtsgrundlage: überwiegendes/berechtigtes Interesse; Bearbeitung ist verhältnismässig und auf Sicherheitszwecke beschränkt (Art. 31 Abs. 1 DSG).

YouTube/Vimeo (Google/YouTube LLC; Vimeo Inc., USA)
Zweck: Videoeinbettung.
Daten: IP, Nutzungsdaten.
Garantie: DPF oder SCCs 2021.
Rechtsgrundlage: Einwilligung.

Google Fonts (remote) (Google LLC, USA)
Zweck: einheitliche Darstellung.
Daten: IP.
Garantie: DPF oder SCCs 2021.
Rechtsgrundlage: überwiegendes/berechtigtes Interesse; strikte Minimierung, keine Profilbildung, ausschliesslich Darstellungszwecke (Art. 31 Abs. 1 DSG).

Grundsatz zu Drittländern (u. a. USA): Vorrangige Übermittlung an DPF-zertifizierte Empfänger; andernfalls Einsatz EDÖB-anerkannter SCCs (2021) zzgl. technischer/organisatorischer Zusatzmassnahmen. Mindestinhalte der Klauseln gem. Art. 8 Abs. 1 Anhang 1 DSV; Art. 9 Abs. 1–3 DSV; Art. 10 Abs. 1–2 DSV. Wir überwachen und dokumentieren die Einhaltung (vertragliche Zusicherungen, TOMs, Auditrechte). Angemessenheitsliste/DPF beachten wir laufend (Art. 8 Abs. 1, Abs. 4–6 DSV).

EU/EWR-Hosting: erfolgt grundsätzlich in Staaten gemäss Anhang 1 DSV.

6. Hosting & Auftragsbearbeitung

Externes Hosting; Auftragsbearbeiter handeln gemäss Weisungen (Art. 9 DSG; Art. 28 DSGVO).
Subunternehmer: spezifische oder allgemeine Genehmigung; bei allgemeiner Genehmigung informieren wir über Änderungen und gewähren Widerspruchsrecht (Art. 7 Abs. 1–2 DSV).
Mindestinhalte der Verträge: Zweck, Daten-/Betroffenenkategorien, Empfänger/Kategorien, Staaten bei Auslandbekanntgabe, Aufbewahrung/Löschung, TOMs, Meldungen, Informationspflichten, Betroffenenrechte (Art. 9 Abs. 1–3 DSV).
Transparenz: Unsere laufend aktualisierte Übersicht der zentralen Auftragsbearbeiter/Subunternehmer (inkl. Kurzangaben gem. Art. 9 DSV) ist auf der Website verlinkt (Art. 17 Abs. 2 DSV; Art. 25 Abs. 2 DSG).

7. Social Media (Seiten-Insights)

Gemeinsame Verantwortlichkeit mit Meta für Seiten-Insights (Art. 26 DSGVO).
Vereinbarung & Aufgabenverteilung:
Meta-Seiten-Insights-Vereinbarung - Meta stellt Infrastruktur/Statistiken, wir verantworten Inhalte/Interaktionen.
Rechte: Betroffene können ihre Rechte bei uns und bei Meta geltend machen (Art. 17 Abs. 1 DSV; Art. 25 Abs. 2 DSG).

8. Cookies & Einwilligungen

Aktuelle Cookie/Tag-Liste: jederzeit abrufbar.
Granulare Einwilligung: Analyse, Marketing, Funktionalität; Widerruf per Klick möglich (Art. 6 Abs. 6 DSG; Art. 25 Abs. 2 DSG).
Protokollierung: Einwilligungen/Widerrufe werden nachvollziehbar protokolliert (unterstützt Systemsicherheit/Transparenz; Art. 3 Abs. 2–3 DSV).

9. Aufbewahrung & Löschung

• Kontakt/Offertanfragen: 6–12 Monate
• Bewerbungen: 6–12 Monate
• Vertrags-/Geschäftsdaten: 10 Jahre (Art. 6 Abs. 4 DSG)
Kriterien: gesetzliche Pflichten, Verjährungsfristen, betriebliche Erfordernisse.
Löschung/Anonymisierung: sobald der Zweck entfällt.

10. Rechte der betroffenen Personen

Rechte: Auskunft (Art. 25 DSG), Berichtigung (Art. 32 DSG), Löschung (Art. 6 Abs. 4 DSG), Einschränkung (Art. 18 DSGVO), Widerspruch (Art. 21 DSGVO), Datenübertragbarkeit (Art. 28 DSG), Widerruf Einwilligung (Art. 6 Abs. 6 DSG).

Auskunftsmodalitäten (praktisch & rechtssicher):
• Kanal: per E-Mail an info@asmpromissa.ch oder per Post.
• Form: schriftlich/elektronisch, verständlich (Art. 16 Abs. 2–5 DSV).
• Frist: 30 Tage; bei Verzögerung begründete Mitteilung mit neuer Frist (Art. 18 Abs. 1–3 DSV).
• Identitätsprüfung: z. B. Referenznummer, verifizierte E-Mail; bei sensiblen Fällen Ausweiskopie (Mitwirkungspflicht).
• Mindestinhalte der Auskunft: Identität/Kontakt des Verantwortlichen, Datenkategorien, Zwecke, Aufbewahrungsdauer/Kriterien, Herkunft, Empfänger/Empfängerkategorien inkl. Auslandbekanntgaben, automatisierte Einzelentscheidungen inkl. Logik/Tragweite (Art. 25 Abs. 2 DSG).
• Unentgeltlichkeit: Auskunft ist kostenlos (Art. 25 Abs. 6 DSG).

Datenübertragbarkeit (Portabilität):
• umfasst nur von Ihnen bereitgestellte und automatisiert bearbeitete Daten (Art. 28 Abs. 1 DSG; Art. 20 Abs. 1 DSV), wenn Bearbeitung auf Einwilligung oder Vertrag beruht;
• keine von uns abgeleiteten Daten (z. B. interne Profile/Scorings) (Art. 20 Abs. 2 DSV);
• Formate: gängige elektronische Formate (CSV, JSON, ggf. PDF), unentgeltlich (Art. 28 Abs. 2–3 DSG; Art. 33 Abs. 5 DSV);
• Ablehnung: möglich bei technischer Unmöglichkeit/unverhältnismässigem Aufwand (Art. 21 Abs. 2–3 DSV).

11. Datensicherheit (TOMs)

Wir setzen TOMs gemäss Art. 8 DSG; Art. 1 & 3 DSV; Art. 32 DSGVO ein (Zugriffs-/Zugangskontrollen, Benutzerrechte, Datenträger-/Speicher-/Transportkontrolle, Eingabe-/Bekanntgabe-Kontrolle, Wiederherstellung, Verfügbarkeit/Integrität/Systemsicherheit, Protokollierung/Monitoring, Patch-Management).
Risikobewertung/Schutzbedarf: werden regelmässig geprüft und TOMs angepasst (Art. 1 Abs. 1–5 DSV).

Sicherheitsverletzungen (Incident Response): Wir erkennen, dokumentieren und melden Verletzungen der Datensicherheit. Meldungen an den EDÖB enthalten die gesetzlich geforderten Mindestangaben; Betroffene werden informiert, wenn nötig (Art. 24 Abs. 1–2 DSG; Art. 15 Abs. 3–4 DSV).

12. Verzeichnis der Bearbeitungstätigkeiten

Wir führen ein internes Verzeichnis gemäss Art. 12 Abs. 1–2, Abs. 5 DSG (Zwecke, Kategorien, Empfänger, Aufbewahrung, TOMs, ggf. Auslandbekanntgaben). Bei allfälliger Videoüberwachung ist Zweck/Personendatenbearbeitung im Verzeichnis ausgewiesen.

13. Profiling-Hinweis

Wir betreiben üblicherweise kein Profiling mit hohem Risiko; Standard-Marketing-Profiling kann stattfinden. Hohes Risiko erfolgt nur mit ausdrücklicher Einwilligung; etwaige Protokollierungspflichten werden beachtet (Art. 6 Abs. 7 DSG; Art. 4 Abs. 1 DSV).

14. Cookies/Tags – Präferenz-Center

Granulare Einwilligungen (Analyse, Marketing, Funktionalität) und Widerruf sind jederzeit im Präferenz-Center möglich; Einwilligungen/Widerrufe werden protokolliert (Art. 6 Abs. 6 DSG; Art. 3 Abs. 2–3 DSV).

15. Aktualisierungen & Angemessenheit

Wir beobachten Angemessenheitsentscheide (Anhang 1 DSV) und EDÖB-Veröffentlichungen fortlaufend und passen Garantien/Datenflüsse sowie diese Erklärung bei Änderungen an (Art. 8 Abs. 1, Abs. 4–6 DSV).

16. Änderungen dieser Erklärung

Wir können diese Erklärung jederzeit anpassen; massgeblich ist die aktuelle Version auf unserer Website (Art. 19 DSG; Art. 12 DSGVO). Über wesentliche Änderungen informieren wir aktiv.