Datenschutz

Mit dieser Datenschutzerklärung informiere ich, welche Personendaten ich im Zusammenhang mit meinen Aktivitäten und Tätigkeiten einschliesslich meiner chiarajoos.ch-Website bearbeite. Ich informiere insbesondere, wofür, wie und wo ich welche Personendaten bearbeite. Ich informiere ausserdem über die Rechte von Personen, deren Daten ich bearbeite. Für einzelne oder zusätzliche Aktivitäten und Tätigkeiten können weitere Datenschutzerklärungen sowie sonstige rechtliche Dokumente wie Allgemeine Geschäftsbedingungen (AGB), Nutzungsbedingungen oder Teilnahmebedingungen gelten. Ich unterliege dem schweizerischen Datenschutzrecht sowie allenfalls anwendbarem ausländischem Datenschutzrecht wie insbesondere jenem der Europäischen Union (EU) mit der Datenschutz-Grundverordnung (DSGVO). Die Europäische Kommission anerkennt, dass das schweizerische Datenschutzrecht einen angemessenen Datenschutz gewährleistet.

1. Kontaktadressen

Verantwortung für die Bearbeitung von Personendaten: Chiara Joos Chiara Joos Design Comercialstrasse 36 7000 Chur hoi@chiarajoos.ch Im Einzelfall kann es andere Verantwortliche für die Bearbeitung von Personendaten oder eine gemeinsame Verantwortlichkeit mit mindestens einem anderen Verantwortlichen geben.

2. Begriffe und Rechtsgrundlagen

2.1 Begriffe

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Eine betroffene Person ist eine Person, über die ich Personendaten bearbeite. Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, beispielsweise das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verbreiten, Verknüpfen, Vernichten und Verwenden von Personendaten. Der Europäische Wirtschaftsraum (EWR) umfasst die Mitgliedstaaten der Europäischen Union (EU) sowie das Fürstentum Liechtenstein, Island und Norwegen. Die Datenschutz-Grundverordnung (DSGVO) bezeichnet die Bearbeitung von Personendaten als Verarbeitung von personenbezogenen Daten.

2.2 Rechtsgrundlagen

Ich bearbeite Personendaten im Einklang mit dem schweizerischen Datenschutzrecht wie insbesondere dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und der Verordnung über den Datenschutz (Datenschutzverordnung, DSV). Ich bearbeite – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – Personendaten gemäss mindestens einer der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung vorvertraglicher Massnahmen.
• Art. 6 Abs. 1 lit. f DSGVO für die erforderliche Bearbeitung von Personendaten, um die berechtigten Interessen von mir oder von Dritten zu wahren, sofern nicht die Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere mein Interesse, meine Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben sowie darüber kommunizieren zu können, die Gewährleistung der Informationssicherheit, der Schutz vor Missbrauch, die Durchsetzung von eigenen rechtlichen Ansprüchen und die Einhaltung von schweizerischem Recht.
• Art. 6 Abs. 1 lit. c DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung einer rechtlichen Verpflichtung, der ich gemäss allenfalls anwendbarem Recht von Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) unterliege.
• Art. 6 Abs. 1 lit. e DSGVO für die erforderliche Bearbeitung von Personendaten zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt.
• Art. 6 Abs. 1 lit. a DSGVO für die Bearbeitung von Personendaten mit Einwilligung der betroffenen Person.
• Art. 6 Abs. 1 lit. d DSGVO für die erforderliche Bearbeitung von Personendaten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

3. Art, Umfang und Zweck

Ich bearbeite jene Personendaten, die erforderlich sind, um meine Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Solche Personendaten können insbesondere in die Kategorien von Bestandes- und Kontaktdaten, Browser- und Gerätedaten, Inhaltsdaten, Meta- bzw. Randdaten und Nutzungsdaten, Standortdaten, Verkaufsdaten sowie Vertrags- und Zahlungsdaten fallen. Ich bearbeite Personendaten während jener Dauer, die für den jeweiligen Zweck bzw. die jeweiligen Zwecke oder gesetzlich erforderlich ist. Personendaten, deren Bearbeitung nicht mehr erforderlich ist, werden anonymisiert oder gelöscht. Ich kann Personendaten durch Dritte bearbeiten lassen. Ich kann Personendaten gemeinsam mit Dritten bearbeiten oder an Dritte übermitteln. Bei solchen Dritten handelt es sich insbesondere um spezialisierte Anbieter, deren Leistungen ich in Anspruch nehme. Ich gewährleiste auch bei solchen Dritten den Datenschutz. Ich bearbeite Personendaten grundsätzlich nur mit Einwilligung der betroffenen Personen. Sofern und soweit die Bearbeitung aus anderen rechtlichen Gründen zulässig ist, kann ich darauf verzichten, eine Einwilligung einzuholen. Ich kann Personendaten beispielsweise ohne Einwilligung bearbeiten, um einen Vertrag zu erfüllen, um rechtlichen Verpflichtungen nachzukommen oder um überwiegende Interessen zu wahren. Ich bearbeite ausserdem Personendaten, die ich von Dritten erhalte, aus öffentlich zugänglichen Quellen beschaffe oder bei der Ausübung meiner Aktivitäten und Tätigkeiten erhebe, sofern und soweit eine solche Bearbeitung aus rechtlichen Gründen zulässig ist.

4. Kommunikation

Ich bearbeite Personendaten, um mit Dritten kommunizieren zu können. Ich bearbeite in diesem Rahmen insbesondere Daten, die eine betroffene Person bei der Kontaktaufnahme übermittelt, zum Beispiel per Briefpost oder E-Mail. Ich kann solche Daten in einem Adressbuch oder mit vergleichbaren Hilfsmitteln speichern. Dritte, die Daten über andere Personen übermitteln, sind verpflichtet, den Datenschutz gegenüber solchen betroffenen Personen zu gewährleisten. Dafür muss unter anderem die Richtigkeit der übermittelten Personendaten sichergestellt werden. Ich nutze ausgewählte Dienste von geeigneten Anbietern, um mit Dritten besser kommunizieren zu können. Ich nutze insbesondere:

• bexio: Customer-Relationship-Management (CRM); Anbieterin: bexio AG (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung, «Cloud und Datensicherheit», «Datensicherheit – Definition und Massnahmen für Unternehmen».

5. Datensicherheit

Ich treffe geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Mit meinen Massnahmen gewährleiste ich insbesondere die Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit und Integrität der bearbeiteten Personendaten, ohne aber absolute Datensicherheit gewährleisten zu können. Der Zugriff auf meine Website und meine sonstige Online-Präsenz erfolgt mittels Transportverschlüsselung (SSL / TLS, insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen Transportverschlüsselung mit einem kleinen Vorhängeschloss in der Adressleiste. Meine digitale Kommunikation unterliegt – wie grundsätzlich jede digitale Kommunikation – der Massenüberwachung ohne Anlass und Verdacht durch Sicherheitsbehörden in der Schweiz, im übrigen Europa, in den Vereinigten Staaten von Amerika (USA) und in anderen Ländern. Ich kann keinen direkten Einfluss auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden nehmen. Ich kann auch nicht ausschliessen, dass einzelne betroffene Personen gezielt überwacht werden.

6. Personendaten im Ausland

Ich bearbeite Personendaten grundsätzlich in der Schweiz und im Europäischen Wirtschafts­raum (EWR). Ich kann Personendaten aber auch in andere Staaten exportieren bzw. übermitteln, insbesondere um sie dort zu bearbeiten oder bearbeiten zu lassen. Ich kann Personendaten in alle Staaten und Territorien auf der Erde exportieren, sofern das dortige Recht gemäss Beschluss des Schweizerischen Bundesrates einen angemessenen Datenschutz sowie – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemäss Beschluss der Europäischen Kommission einen angemessenen Datenschutz gewährleistet. Ich kann Personendaten in Staaten, deren Recht keinen angemessenen Datenschutz gewährleistet, übermitteln, sofern der Datenschutz aus anderen Gründen gewährleistet ist, insbesondere auf Grundlage von Standard­datenschutzklauseln oder mit anderen geeigneten Garantien. Ausnahmsweise kann ich Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz exportieren, wenn dafür die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind, beispielsweise die ausdrückliche Einwilligung der betroffenen Personen oder ein unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages. Ich gebe betroffenen Personen auf Nachfrage gerne Auskunft über allfällige Garantien oder liefern eine Kopie allfälliger Garantien.

7. Rechte von betroffenen Personen

7.1 Datenschutzrechtliche Ansprüche

Ich gewähre betroffenen Personen sämtliche Ansprüche gemäss dem anwendbaren Datenschutzrecht. Betroffene Personen verfügen insbesondere über folgende Rechte:

• Auskunft: Betroffene Personen können Auskunft verlangen, ob ich Personendaten über sie bearbeite, und falls ja, um welche Personendaten es sich handelt. Betroffene Personen erhalten ferner jene Informationen, die erforderlich sind, um ihre datenschutzrechtlichen Ansprüche geltend zu machen und Transparenz zu gewährleisten. Dazu zählen die bearbeiteten Personendaten als solche, aber unter anderem auch Angaben zum Bearbeitungszweck, zur Dauer der Aufbewahrung, zu einer allfälligen Bekanntgabe bzw. einem allfälligen Export von Daten in andere Staaten und zur Herkunft der Personendaten.
• Berichtigung und Einschränkung: Betroffene Personen können unrichtige Personendaten berichtigen, unvollständige Daten vervollständigen und die Bearbeitung ihrer Daten einschränken lassen.
• Löschung und Widerspruch: Betroffene Personen können Personendaten löschen lassen («Recht auf Vergessen») und der Bearbeitung ihrer Daten mit Wirkung für die Zukunft widersprechen.
• Datenherausgabe und Datenübertragung: Betroffene Personen können die Herausgabe von Personendaten oder die Übertragung ihrer Daten an einen anderen Verantwortlichen verlangen.

Ich kann die Ausübung der Rechte von betroffenen Personen im rechtlich zulässigen Rahmen aufschieben, einschränken oder verweigern. Ich kann betroffene Personen auf allenfalls zu erfüllende Voraussetzungen für die Ausübung ihrer datenschutzrechtlichen Ansprüche hinweisen. Ich kann beispielsweise die Auskunft mit Verweis auf Geschäftsgeheimnisse oder den Schutz anderer Personen ganz oder teilweise verweigern. Ich kann beispielsweise auch die Löschung von Personendaten mit Verweis auf gesetzliche Aufbewahrungspflichten ganz oder teilweise verweigern. Ich kann für die Ausübung der Rechte ausnahmsweise Kosten vorsehen. Ich informiere betroffene Personen vorgängig über allfällige Kosten. Ich bin verpflichtet, betroffene Personen, die Auskunft verlangen oder andere Rechte geltend machen, mit angemessenen Massnahmen zu identifizieren. Betroffene Personen sind zur Mitwirkung verpflichtet.

7.2 Rechtsschutz

Betroffene Personen haben das Recht, ihre datenschutz­rechtlichen Ansprüche auf dem Rechtsweg durchzusetzen oder Anzeige bzw. Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde zu erheben. Datenschutz-Aufsichtsbehörde für Anzeigen von betroffenen Personen gegen private Verantwortliche und Bundesorgane in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeits­beauftragte (EDÖB). Europäische Datenschutz-Aufsichtsbehörden für Beschwerden von betroffenen Personen – sofern und soweit die Datenschutz-Grund­verordnung (DSGVO) anwendbar ist – sind als Mitglieder im Europäischen Datenschutz­ausschuss (EDSA) organisiert. In einigen Mitgliedstaaten im Europäischen Wirtschafts­raum (EWR) sind die Datenschutz-Aufsichtsbehörden föderal strukturiert, insbesondere in Deutschland.

8. Nutzung der Website

8.1 Cookies

Ich kann Cookies verwenden. Bei Cookies – eigenen Cookies (First-Party-Cookies) als auch Cookies von Dritten, deren Dienste ich nutze (Third-Party-Cookies) – handelt es sich um Daten, die im Browser gespeichert werden. Solche gespeicherten Daten müssen nicht auf traditionelle Cookies in Textform beschränkt sein. Cookies können im Browser temporär als «Session Cookies» oder für einen bestimmten Zeitraum als sogenannte permanente Cookies gespeichert werden. «Session Cookies» werden automatisch gelöscht, wenn der Browser geschlossen wird. Permanente Cookies haben eine bestimmte Speicherdauer. Cookies ermöglichen insbesondere, einen Browser beim nächsten Besuch meiner Website wiederzuerkennen und dadurch beispielsweise die Reichweite meiner Website zu messen. Permanente Cookies können aber beispielsweise auch für Online-Marketing verwendet werden. Cookies können in den Browser-Einstellungen jederzeit ganz oder teilweise deaktiviert sowie gelöscht werden. Ohne Cookies steht meine Website allenfalls nicht mehr in vollem Umfang zur Verfügung. Bei Cookies, die für die Erfolgs- und Reichweitenmessung oder für Werbung verwendet werden, ist für zahlreiche Dienste ein allgemeiner Widerspruch («Opt-out») über die AdChoices (Digital Advertising Alliance of Canada), die Network Advertising Initiative (NAI), YourAdChoices (Digital Advertising Alliance) oder Your Online Choices (European Interactive Digital Advertising Alliance, EDAA) möglich.

8.2 Protokollierung

Ich kann für jeden Zugriff auf meine Website und meine sonstige Online-Präsenz mindestens nachfolgende Angaben protokollieren, sofern diese bei solchen Zugriffen an meine digitale Infrastruktur übermittelt werden: Datum und Zeit einschliesslich Zeitzone, IP-Adresse, Zugriffsstatus (HTTP-Statuscode), Betriebs­system einschliesslich Benutzer­oberfläche und Version, Browser einschliesslich Sprache und Version, aufgerufene einzelne Unter-Seite meiner Website einschliesslich übertragener Daten­menge, zuletzt im gleichen Browser-Fenster aufgerufene Webseite (Referer bzw. Referrer). Ich protokolliere solche Angaben, die auch Personendaten darstellen können, in Log­dateien. Die Angaben sind erforderlich, um meine Online-Präsenz dauerhaft, nutzerfreundlich und zuverlässig bereitstellen zu können. Die Angaben sind ferner erforderlich, um die Datensicherheit gewährleisten zu können – auch durch Dritte oder mit Hilfe von Dritten.

8.3 Zählpixel

Ich kann Zählpixel in meine Online-Präsenz einbinden. Zählpixel werden auch als Web-Beacons bezeichnet. Bei Zählpixeln – auch von Dritten, deren Dienste ich nutze – handelt es sich üblicherweise um kleine, nicht sichtbare Bilder oder in JavaScript formulierte Skripte, die beim Zugriff auf meine Online-Präsenz automatisch abgerufen werden. Mit Zählpixeln können mindestens die gleichen Angaben wie in Log­dateien erfasst werden.

9. Social Media

Ich bin auf Social Media-Plattformen und anderen Online-Plattformen präsent, um mit interessierten Personen kommunizieren sowie über meine Aktivitäten und Tätigkeiten informieren zu können. Im Zusammenhang mit solchen Plattformen können Personendaten auch ausserhalb der Schweiz und des Europäischen Wirtschaftsraumes (EWR) bearbeitet werden. Es gelten jeweils auch die Allgemeinen Geschäftsbedingungen (AGB) und Nutzungsbedingungen sowie Datenschutzerklärungen und sonstigen Bestimmungen der einzelnen Betreiber solcher Plattformen. Diese Bestimmungen informieren insbesondere über die Rechte von betroffenen Personen direkt gegenüber der jeweiligen Plattform, wozu beispielsweise das Recht auf Auskunft zählt.

10. Dienste von Dritten

Ich nutze Dienste von spezialisierten Dritten, um meine Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Mit solchen Diensten kann ich unter anderem Funktionen und Inhalte in meine Website einbetten. Bei einer solchen Einbettung erfassen die genutzten Dienste aus technisch zwingenden Gründen mindestens zeitweilig die IP-Adressen der Nutzerinnen und Nutzer. Für erforderliche sicherheitsrelevante, statistische und technische Zwecke können Dritte, deren Dienste ich nutze, Daten im Zusammenhang mit meinen Aktivitäten und Tätigkeiten aggregiert, anonymisiert oder pseudonymisiert bearbeiten. Es handelt sich beispielsweise um Leistungs- oder Nutzungsdaten, um den jeweiligen Dienst anbieten zu können. Ich nutze insbesondere:

• Dienste von Google: Anbieterinnen: Google LLC (USA) / Google Ireland Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz; Allgemeine Angaben zum Datenschutz: «Grundsätze zu Datenschutz und Sicherheit», Datenschutzerklärung, «Google ist der Einhaltung der anwendbaren Datenschutzgesetze verpflichtet», «Leitfaden zum Datenschutz in Google-Produkten», «Wie wir Daten von Websites oder Apps verwenden, auf bzw. in denen unsere Dienste genutzt werden» (Angaben von Google), «Von Google verwendete Cookie-Arten und weitere Technologien», «Personalisierte Werbung» (Aktivierung / Deaktivierung / Einstellungen).

10.1 Digitale Infrastruktur

Ich nutze Dienste von spezialisierten Dritten, um benötigte digitale Infrastruktur im Zusammenhang mit meinen Aktivitäten und Tätigkeiten in Anspruch nehmen zu können. Dazu zählen beispielsweise Hosting- und Speicherdienste von ausgewählten Anbietern. Ich nutze insbesondere:

• Hostpoint: Hosting; Anbieterin: Hostpoint AG (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung.

10.2 Schriftarten

Ich nutze Dienste von Dritten, um ausgewählte Schriftarten sowie Icons, Logos und Symbole in meine Website einbetten zu können. Ich nutze insbesondere:

• Font Awesome: Icons und Logos; Anbieterin: Fonticons Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung.

11. Erweiterungen für die Website

Ich verwende Erweiterungen für meine Website, um zusätzliche Funktionen nutzen zu können. Ich kann ausgewählte Dienste von geeigneten Anbietern nutzen oder solche Erweiterungen auf eigener Server-Infrastruktur verwenden. Ich verwende insbesondere:

• Google reCAPTCHA: Spamschutz (Unterscheidung zwischen erwünschten Inhalten von Menschen sowie unerwünschten Inhalten von Bots und Spam); Anbieterin: Google; Google reCAPTCHA-spezifische Angaben: «Was ist reCAPTCHA?» («What is reCAPTCHA?»).

12. Erfolgs- und Reichweiten­messung

Ich versuche zu ermitteln, wie mein Online-Angebot genutzt wird. In diesem Rahmen kann ich beispielsweise den Erfolg und die Reichweite meiner Aktivitäten und Tätigkeiten sowie die Wirkung von Verlinkungen Dritter auf meine Website messen. Aufgrund der Ergebnisse der Erfolgs- und Reichweitenmessung kann ich insbesondere Fehler beheben, beliebte Inhalte stärken oder Verbesserungen an meinem Online-Angebot vornehmen. Für die Erfolgs- und Reichweitenmessung werden in den meisten Fällen die IP-Adressen von einzelnen Nutzerinnen und Nutzern gespeichert. IP-Adressen werden in diesem Fall grundsätzlich gekürzt («IP-Masking»), um durch die entsprechende Pseudonymisierung dem Grundsatz der Datensparsamkeit zu folgen. Bei der Erfolgs- und Reichweitenmessung können Cookies zum Einsatz kommen und Nutzerprofile erstellt werden. Allenfalls erstellte Nutzerprofile umfassen beispielsweise die besuchten einzelnen Seiten oder betrachteten Inhalte auf meiner Website, Angaben zur Grösse von Bildschirm oder Browser-Fenster und den – zumindest ungefähren – Standort. Grundsätzlich werden allfällige Nutzerprofile ausschliesslich pseudonymisiert erstellt und nicht für die Identifizierung einzelner Nutzerinnen und Nutzer verwendet. Einzelne Dienste von Dritten, bei denen Nutzerinnen oder Nutzer angemeldet sind, können die Nutzung meines Online-Angebotes allenfalls dem Nutzerkonto oder Nutzerprofil beim jeweiligen Dienst zuordnen. Ich nutze insbesondere:

• Google Analytics: Erfolgs- und Reichweitenmessung; Anbieterin: Google; Google Analytics-spezifische Angaben: Messung auch über verschiedene Browser und Geräte hinweg (Cross-Device Tracking) sowie mit pseudonymisierten IP-Adressen, die nur ausnahmsweise vollständig an Google in den USA übertragen werden, «Datenschutz», «Browser Add-on zur Deaktivierung von Google Analytics».

13. Schluss­bestimmungen

Ich kann diese Datenschutzerklärung jederzeit anpassen und ergänzen. Ich werde über solche Anpassungen und Ergänzungen in geeigneter Form informieren, insbesondere durch Veröffentlichung der jeweils aktuellen Datenschutzerklärung auf meiner Website.