Datenschutz
Mit der Benutzung der Internetseite www.surselva.info oder der App «mia Surselva» geben Sie die Zustimmung zu den nachfolgenden Bedingungen:
Datenschutzerklärung
Mit dieser Datenschutzerklärung informieren wir, welche Personendaten wir im Zusammenhang mit unseren Aktivitäten und Tätigkeiten einschliesslich unserer surselva.info-Website bearbeiten. Wir informieren insbesondere, wofür, wie und wo wir welche Personendaten bearbeiten. Wir informieren ausserdem über die Rechte von Personen, deren Daten wir bearbeiten.
Für einzelne oder zusätzliche Aktivitäten und Tätigkeiten können weitere Datenschutzerklärungen sowie sonstige rechtliche Dokumente wie Allgemeine Geschäftsbedingungen (AGB), Nutzungsbedingungen oder Teilnahmebedingungen gelten.
Wir unterliegen dem schweizerischen Datenschutzrecht sowie allenfalls anwendbarem ausländischem Datenschutzrecht wie insbesondere jenem der Europäischen Union (EU) mit der europäischen Datenschutz-Grundverordnung (DSGVO).
Die Europäische Kommission anerkannte mit Entscheidung vom 26. Juli 2000, dass das schweizerische Datenschutzrecht einen angemessenen Datenschutz gewährleistet. Mit Bericht vom 15. Januar 2024 bestätigte die Europäische Kommission diesen Angemessenheitsbeschluss.
1. Kontaktadressen
Verantwortung für die Bearbeitung von Personendaten:
Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz
Im Einzelfall kann es andere Verantwortliche für die Bearbeitung von Personendaten oder eine gemeinsame Verantwortlichkeit mit mindestens einem anderen Verantwortlichen geben.
1.1 Datenschutzbeauftragte bzw. Datenschutzberater
Wir verfügen über die nachfolgende Datenschutzbeauftragte bzw. den nachfolgenden Datenschutzberater als Anlaufstelle für betroffene Personen und Behörden bei Anfragen im Zusammenhang mit dem Datenschutz:
Maik Deschmann
Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz
1.2 Datenschutz-Vertretung im Europäischen Wirtschaftsraum (EWR)
Wir verfügen über nachfolgende Datenschutz-Vertretung gemäss Art. 27 DSGVO:
VGS Datenschutzpartner GmbH
Am Kaiserkai 69
20457 Hamburg
Deutschland
Die Datenschutz-Vertretung dient betroffenen Personen und Behörden in der Europäischen Union (EU) und im übrigen Europäischen Wirtschaftsraum (EWR) als zusätzliche Anlaufstelle für Anfragen im Zusammenhang mit der DSGVO.
2. Begriffe und Rechtsgrundlagen
2.1 Begriffe
Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
Besonders schützenswerte Personendaten sind Daten über gewerkschaftliche, politische, religiöse oder weltanschauliche Ansichten und Tätigkeiten, Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Ethnie oder Rasse, genetische Daten, biometrische Daten, die eine natürliche Person eindeutig identifizieren, Daten über straf- und verwaltungsrechtliche Sanktionen oder Verfolgungen, und Daten über Massnahmen der sozialen Hilfe.
Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, beispielsweise das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verbreiten, Verknüpfen, Vernichten und Verwenden von Personendaten.
Eine betroffene Person ist eine natürliche Person, über die wir Personendaten bearbeiten.
Der Europäische Wirtschaftsraum (EWR) umfasst die Mitgliedstaaten der Europäischen Union (EU) sowie das Fürstentum Liechtenstein, Island und Norwegen.
Die Datenschutz-Grundverordnung (DSGVO) bezeichnet die Bearbeitung von Personendaten als Verarbeitung personenbezogener Daten und die Bearbeitung von besonders schützenswerten Personendaten als Verarbeitung besonderer Kategorien personenbezogener Daten (Art. 9 DSGVO).
2.2 Rechtsgrundlagen
Wir bearbeiten Personendaten im Einklang mit dem schweizerischen Datenschutzrecht wie insbesondere dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und der Verordnung über den Datenschutz (Datenschutzverordnung, DSV).
Wir bearbeiten – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – Personendaten gemäss mindestens einer der folgenden Rechtsgrundlagen:
- Art. 6 Abs. 1 lit. b DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung vorvertraglicher Massnahmen.
- Art. 6 Abs. 1 lit. f DSGVO für die erforderliche Bearbeitung von Personendaten, um die berechtigten Interessen von uns oder von Dritten zu wahren, sofern nicht die Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere unser Interesse, unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben sowie darüber kommunizieren zu können, die Gewährleistung der Informationssicherheit, der Schutz vor Missbrauch, die Durchsetzung von eigenen rechtlichen Ansprüchen und die Einhaltung von schweizerischem Recht.
- Art. 6 Abs. 1 lit. c DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung einer rechtlichen Verpflichtung, der wir gemäss allenfalls anwendbarem Recht von Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) unterliegen.
- Art. 6 Abs. 1 lit. e DSGVO für die erforderliche Bearbeitung von Personendaten zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt.
- Art. 6 Abs. 1 lit. a DSGVO für die Bearbeitung von Personendaten mit Einwilligung der betroffenen Person.
- Art. 6 Abs. 1 lit. d DSGVO für die erforderliche Bearbeitung von Personendaten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.
3. Art, Umfang und Zweck
Wir bearbeiten jene Personendaten, die erforderlich sind, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Solche Personendaten können insbesondere in die Kategorien von Bestandes- und Kontaktdaten, Browser- und Gerätedaten, Inhaltsdaten, Meta- bzw. Randdaten und Nutzungsdaten, Standortdaten, Verkaufsdaten sowie Vertrags- und Zahlungsdaten fallen.
Wir bearbeiten Personendaten während jener Dauer, die für den jeweiligen Zweck bzw. die jeweiligen Zwecke oder gesetzlich erforderlich ist. Personendaten, deren Bearbeitung nicht mehr erforderlich ist, werden anonymisiert oder gelöscht.
Wir können Personendaten durch Dritte bearbeiten lassen. Wir können Personendaten gemeinsam mit Dritten bearbeiten oder an Dritte übermitteln. Bei solchen Dritten handelt es sich insbesondere um spezialisierte Anbieter, deren Leistungen wir in Anspruch nehmen. Wir gewährleisten auch bei solchen Dritten den Datenschutz.
Wir bearbeiten Personendaten grundsätzlich nur mit Einwilligung der betroffenen Personen. Sofern und soweit die Bearbeitung aus anderen rechtlichen Gründen zulässig ist, können wir darauf verzichten, eine Einwilligung einzuholen. Wir können Personendaten beispielsweise ohne Einwilligung bearbeiten, um einen Vertrag zu erfüllen, um rechtlichen Verpflichtungen nachzukommen oder um überwiegende Interessen zu wahren.
Wir bearbeiten ausserdem Personendaten, die wir von Dritten erhalten, aus öffentlich zugänglichen Quellen beschaffen oder bei der Ausübung unserer Aktivitäten und Tätigkeiten erheben, sofern und soweit eine solche Bearbeitung aus rechtlichen Gründen zulässig ist.
4. Kommunikation
Wir bearbeiten Personendaten, um mit Dritten kommunizieren zu können. Wir bearbeiten in diesem Rahmen insbesondere Daten, die eine betroffene Person bei der Kontaktaufnahme übermittelt, zum Beispiel per Briefpost oder E-Mail. Wir können solche Daten in einem Adressbuch oder mit vergleichbaren Hilfsmitteln speichern.
Dritte, die Daten über andere Personen übermitteln, sind verpflichtet, den Datenschutz gegenüber solchen betroffenen Personen zu gewährleisten. Dafür muss unter anderem die Richtigkeit der übermittelten Personendaten sichergestellt werden.
Wir nutzen ausgewählte Dienste von geeigneten Anbietern, um mit Dritten besser kommunizieren zu können.
Wir nutzen insbesondere:
- HubSpot: Customer-Relationship-Management (CRM); Anbieterinnen: HubSpot Inc. (USA) / HubSpot Ireland Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und im Vereinigten Königreich; Angaben zum Datenschutz: Datenschutzerklärung, «Sicherheit, Datenschutz und Kontrollmechanismen», «Trust Center».
- Typeform: Online-Formular-Dienst; Anbieterin: TYPEFORM SL (Spanien); Angaben zum Datenschutz: Datenschutzerklärung, «Sicherheits- & Datenschutz-Standards bei Typeform» («Security & Privacy Standards at Typeform»).
5. Datensicherheit
Wir treffen geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Mit unseren Massnahmen gewährleisten wir insbesondere die Vertraulichkeit, Verfügbarkeit, Nachvollziehbarkeit und Integrität der bearbeiteten Personendaten, ohne aber absolute Datensicherheit gewährleisten zu können.
Der Zugriff auf unsere Website und unsere sonstige Online-Präsenz erfolgt mittels Transportverschlüsselung (SSL / TLS, insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen Transportverschlüsselung mit einem kleinen Vorhängeschloss in der Adressleiste.
Unsere digitale Kommunikation unterliegt – wie grundsätzlich jede digitale Kommunikation – der Massenüberwachung ohne Anlass und Verdacht durch Sicherheitsbehörden in der Schweiz, im übrigen Europa, in den Vereinigten Staaten von Amerika (USA) und in anderen Ländern. Wir können keinen direkten Einfluss auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden nehmen. Wir können auch nicht ausschliessen, dass einzelne betroffene Personen gezielt überwacht werden.
6. Personendaten im Ausland
Wir bearbeiten Personendaten grundsätzlich in der Schweiz und im Europäischen Wirtschaftsraum (EWR). Wir können Personendaten aber auch in andere Staaten exportieren bzw. übermitteln, insbesondere um sie dort zu bearbeiten oder bearbeiten zu lassen.
Wir können Personendaten in alle Staaten und Territorien auf der Erde sowie anderswo im Universum exportieren, sofern das dortige Recht gemäss Beschluss des Schweizerischen Bundesrates einen angemessenen Datenschutz sowie – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemäss Beschluss der Europäischen Kommission einen angemessenen Datenschutz gewährleistet.
Wir können Personendaten in Staaten, deren Recht keinen angemessenen Datenschutz gewährleistet, übermitteln, sofern der Datenschutz aus anderen Gründen gewährleistet ist, insbesondere auf Grundlage von Standarddatenschutzklauseln oder mit anderen geeigneten Garantien. Ausnahmsweise können wir Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz exportieren, wenn dafür die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind, beispielsweise die ausdrückliche Einwilligung der betroffenen Personen oder ein unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages. Wir geben betroffenen Personen auf Nachfrage gerne Auskunft über allfällige Garantien oder liefern eine Kopie allfälliger Garantien.
7. Rechte von betroffenen Personen
7.1 Datenschutzrechtliche Ansprüche
Wir gewähren betroffenen Personen sämtliche Ansprüche gemäss dem anwendbaren Datenschutzrecht. Betroffene Personen verfügen insbesondere über folgende Rechte:
- Auskunft: Betroffene Personen können Auskunft verlangen, ob wir Personendaten über sie bearbeiten, und falls ja, um welche Personendaten es sich handelt. Betroffene Personen erhalten ferner jene Informationen, die erforderlich sind, um ihre datenschutzrechtlichen Ansprüche geltend zu machen und Transparenz zu gewährleisten. Dazu zählen die bearbeiteten Personendaten als solche, aber unter anderem auch Angaben zum Bearbeitungszweck, zur Dauer der Aufbewahrung, zu einer allfälligen Bekanntgabe bzw. einem allfälligen Export von Daten in andere Staaten und zur Herkunft der Personendaten.
- Berichtigung und Einschränkung: Betroffene Personen können unrichtige Personendaten berichtigen, unvollständige Daten vervollständigen und die Bearbeitung ihrer Daten einschränken lassen.
- Löschung und Widerspruch: Betroffene Personen können Personendaten löschen lassen («Recht auf Vergessen») und der Bearbeitung ihrer Daten mit Wirkung für die Zukunft widersprechen.
- Datenherausgabe und Datenübertragung: Betroffene Personen können die Herausgabe von Personendaten oder die Übertragung ihrer Daten an einen anderen Verantwortlichen verlangen.
Wir können die Ausübung der Rechte von betroffenen Personen im rechtlich zulässigen Rahmen aufschieben, einschränken oder verweigern. Wir können betroffene Personen auf allenfalls zu erfüllende Voraussetzungen für die Ausübung ihrer datenschutzrechtlichen Ansprüche hinweisen. Wir können beispielsweise die Auskunft mit Verweis auf Geschäftsgeheimnisse oder den Schutz anderer Personen ganz oder teilweise verweigern. Wir können beispielsweise auch die Löschung von Personendaten mit Verweis auf gesetzliche Aufbewahrungspflichten ganz oder teilweise verweigern.
Wir können für die Ausübung der Rechte ausnahmsweise Kosten vorsehen. Wir informieren betroffene Personen vorgängig über allfällige Kosten.
Wir sind verpflichtet, betroffene Personen, die Auskunft verlangen oder andere Rechte geltend machen, mit angemessenen Massnahmen zu identifizieren. Betroffene Personen sind zur Mitwirkung verpflichtet.
7.2 Rechtsschutz
Betroffene Personen haben das Recht, ihre datenschutzrechtlichen Ansprüche auf dem Rechtsweg durchzusetzen oder Anzeige bzw. Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde zu erheben.
Datenschutz-Aufsichtsbehörde für Anzeigen von betroffenen Personen gegen private Verantwortliche und Bundesorgane in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).
Europäische Datenschutz-Aufsichtsbehörden für Beschwerden von betroffenen Personen – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – sind als Mitglieder im Europäischen Datenschutzausschuss (EDSA) organisiert. In einigen Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) sind die Datenschutz-Aufsichtsbehörden föderal strukturiert, insbesondere in Deutschland.
8. Nutzung der Website
8.1 Cookies
Wir können Cookies verwenden. Bei Cookies – eigenen Cookies (First-Party-Cookies) als auch Cookies von Dritten, deren Dienste wir nutzen (Third-Party-Cookies) – handelt es sich um Daten, die im Browser gespeichert werden. Solche gespeicherten Daten müssen nicht auf traditionelle Cookies in Textform beschränkt sein.
Cookies können im Browser temporär als «Session Cookies» oder für einen bestimmten Zeitraum als sogenannte permanente Cookies gespeichert werden. «Session Cookies» werden automatisch gelöscht, wenn der Browser geschlossen wird. Permanente Cookies haben eine bestimmte Speicherdauer. Cookies ermöglichen insbesondere, einen Browser beim nächsten Besuch unserer Website wiederzuerkennen und dadurch beispielsweise die Reichweite unserer Website zu messen. Permanente Cookies können aber beispielsweise auch für Online-Marketing verwendet werden.
Cookies können in den Browser-Einstellungen jederzeit ganz oder teilweise deaktiviert sowie gelöscht werden. Ohne Cookies steht unsere Website allenfalls nicht mehr in vollem Umfang zur Verfügung. Wir ersuchen – mindestens sofern und soweit erforderlich – aktiv um die ausdrückliche Einwilligung in die Verwendung von Cookies.
Bei Cookies, die für die Erfolgs- und Reichweitenmessung oder für Werbung verwendet werden, ist für zahlreiche Dienste ein allgemeiner Widerspruch («Opt-out») über die AdChoices (Digital Advertising Alliance of Canada), die Network Advertising Initiative (NAI), YourAdChoices (Digital Advertising Alliance) oder Your Online Choices (European Interactive Digital Advertising Alliance, EDAA) möglich.
8.2 Protokollierung
Wir können für jeden Zugriff auf unsere Website und unsere sonstige Online-Präsenz mindestens nachfolgende Angaben protokollieren, sofern diese bei solchen Zugriffen an unsere digitale Infrastruktur übermittelt werden: Datum und Zeit einschliesslich Zeitzone, IP-Adresse, Zugriffsstatus (HTTP-Statuscode), Betriebssystem einschliesslich Benutzeroberfläche und Version, Browser einschliesslich Sprache und Version, aufgerufene einzelne Unter-Seite unserer Website einschliesslich übertragener Datenmenge, zuletzt im gleichen Browser-Fenster aufgerufene Webseite (Referer bzw. Referrer).
Wir protokollieren solche Angaben, die auch Personendaten darstellen können, in Logdateien. Die Angaben sind erforderlich, um unsere Online-Präsenz dauerhaft, nutzerfreundlich und zuverlässig bereitstellen zu können. Die Angaben sind ferner erforderlich, um die Datensicherheit gewährleisten zu können – auch durch Dritte oder mit Hilfe von Dritten.
8.3 Zählpixel
Wir können Zählpixel in unsere Online-Präsenz einbinden. Zählpixel werden auch als Web-Beacons bezeichnet. Bei Zählpixeln – auch von Dritten, deren Dienste wir nutzen – handelt es sich üblicherweise um kleine, nicht sichtbare Bilder oder in JavaScript formulierte Skripte, die beim Zugriff auf unsere Online-Präsenz automatisch abgerufen werden. Mit Zählpixeln können mindestens die gleichen Angaben wie in Logdateien erfasst werden.
9. Benachrichtigungen und Mitteilungen
Wir versenden Benachrichtigungen und Mitteilungen per E-Mail und über andere Kommunikationskanäle wie beispielsweise Instant Messaging oder SMS.
9.1 Erfolgs- und Reichweitenmessung
Benachrichtigungen und Mitteilungen können Weblinks oder Zählpixel enthalten, die erfassen, ob eine einzelne Mitteilung geöffnet wurde und welche Weblinks dabei angeklickt wurden. Solche Weblinks und Zählpixel können die Nutzung von Benachrichtigungen und Mitteilungen auch personenbezogen erfassen. Wir benötigen diese statistische Erfassung der Nutzung für die Erfolgs- und Reichweitenmessung, um Benachrichtigungen und Mitteilungen aufgrund der Bedürfnisse und Lesegewohnheiten der Empfängerinnen und Empfänger effektiv und nutzerfreundlich sowie dauerhaft, sicher und zuverlässig versenden zu können.
9.2 Einwilligung und Widerspruch
Sie müssen grundsätzlich in die Verwendung Ihrer E-Mail-Adresse und Ihrer sonstigen Kontaktadressen einwilligen, es sei denn, die Verwendung ist aus anderen rechtlichen Gründen zulässig. Für das allfällige Einholen einer doppelt bestätigten Einwilligung können wir das «Double Opt-in»-Verfahren verwenden. Sie erhalten in diesem Fall eine Mitteilung mit Anweisungen für die doppelte Bestätigung. Wir können eingeholte Einwilligungen einschliesslich IP-Adresse und Zeitstempel aus Beweis- und Sicherheitsgründen protokollieren.
Sie können grundsätzlich dem Erhalt von Benachrichtigungen und Mitteilungen wie beispielsweise Newslettern jederzeit widersprechen. Mit einem solchen Widerspruch können Sie gleichzeitig der statistischen Erfassung der Nutzung für die Erfolgs- und Reichweitenmessung widersprechen. Vorbehalten bleiben erforderliche Benachrichtigungen und Mitteilungen im Zusammenhang mit unseren Aktivitäten und Tätigkeiten.
9.3 Dienstleister für Benachrichtigungen und Mitteilungen
Wir versenden Benachrichtigungen und Mitteilungen mit Hilfe von spezialisierten Dienstleistern.
10. Social Media
Wir sind auf Social Media-Plattformen und anderen Online-Plattformen präsent, um mit interessierten Personen kommunizieren sowie über unsere Aktivitäten und Tätigkeiten informieren zu können. Im Zusammenhang mit solchen Plattformen können Personendaten auch ausserhalb der Schweiz und des Europäischen Wirtschaftsraumes (EWR) bearbeitet werden.
Es gelten jeweils auch die Allgemeinen Geschäftsbedingungen (AGB) und Nutzungsbedingungen sowie Datenschutzerklärungen und sonstigen Bestimmungen der einzelnen Betreiber solcher Plattformen. Diese Bestimmungen informieren insbesondere über die Rechte von betroffenen Personen direkt gegenüber der jeweiligen Plattform, wozu beispielsweise das Recht auf Auskunft zählt.
Für unsere Social Media-Präsenz bei Facebook unter Einschluss der sogenannten Seiten-Insights sind wir – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemeinsam mit der Meta Platforms Ireland Limited (Irland) verantwortlich. Die Meta Platforms Ireland Limited ist Teil der Meta-Unternehmen (unter anderem in den USA). Die Seiten-Insights geben Aufschluss darüber, wie Besucherinnen und Besucher mit unserer Facebook-Präsenz interagieren. Wir verwenden Seiten-Insights, um unsere Social Media-Präsenz bei Facebook effektiv und nutzerfreundlich bereitstellen zu können.
Weitere Angaben über Art, Umfang und Zweck der Datenbearbeitung, Angaben zu den Rechten von betroffenen Personen sowie die Kontaktdaten von Facebook wie auch dem Datenschutzbeauftragten von Facebook finden sich in der Datenschutzerklärung von Facebook. Wir haben mit Facebook den sogenannten «Zusatz für Verantwortliche» abgeschlossen und damit insbesondere vereinbart, dass Facebook dafür verantwortlich ist, die Rechte betroffener Personen zu gewährleisten. Für die sogenannten Seiten-Insights finden sich die entsprechenden Angaben auf der Seite «Informationen zu Seiten-Insights» einschliesslich «Informationen zu Seiten-Insights-Daten».
Nutzerinnen und Nutzer von Social Media-Plattformen haben die Möglichkeit, sich mit ihrem entsprechenden Nutzerkonto bei unserem Online-Angebot einzuloggen bzw. zu registrieren («Social Login»). Es gelten die jeweiligen Bedingungen der betreffenden Social Media-Plattformen.
11. Dienste von Dritten
Wir nutzen Dienste von spezialisierten Dritten, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Mit solchen Diensten können wir unter anderem Funktionen und Inhalte in unsere Website einbetten. Bei einer solchen Einbettung erfassen die genutzten Dienste aus technisch zwingenden Gründen mindestens zeitweilig die IP-Adressen der Nutzerinnen und Nutzer.
Für erforderliche sicherheitsrelevante, statistische und technische Zwecke können Dritte, deren Dienste wir nutzen, Daten im Zusammenhang mit unseren Aktivitäten und Tätigkeiten aggregiert, anonymisiert oder pseudonymisiert bearbeiten. Es handelt sich beispielsweise um Leistungs- oder Nutzungsdaten, um den jeweiligen Dienst anbieten zu können.
Wir nutzen insbesondere:
- Dienste von Google: Anbieterinnen: Google LLC (USA) / Google Ireland Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz; Allgemeine Angaben zum Datenschutz: «Grundsätze zu Datenschutz und Sicherheit», Datenschutzerklärung, «Google ist der Einhaltung der anwendbaren Datenschutzgesetze verpflichtet», «Leitfaden zum Datenschutz in Google-Produkten», «Wie wir Daten von Websites oder Apps verwenden, auf bzw. in denen unsere Dienste genutzt werden» (Angaben von Google), «Arten von Cookies und ähnliche Technologien, die Google verwendet», «Werbung, auf die du Einfluss hast» («Personalisierte Werbung»).
- Dienste von Microsoft: Anbieterinnen: Microsoft Ireland Operations Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR), in der Schweiz und im Verereinigten Königreich / Microsoft Corporation (USA) für Nutzerinnen und Nutzer im Rest der Welt; Allgemeine Angaben zum Datenschutz: «Datenschutz bei Microsoft», «Datenschutz und Privatsphäre», Datenschutzerklärung, «Daten- und Datenschutzeinstellungen».
11.1 Digitale Infrastruktur
Wir nutzen Dienste von spezialisierten Dritten, um benötigte digitale Infrastruktur im Zusammenhang mit unseren Aktivitäten und Tätigkeiten in Anspruch nehmen zu können. Dazu zählen beispielsweise Hosting- und Speicherdienste von ausgewählten Anbietern.
11.2 Audio- und Video-Konferenzen
Wir nutzen spezialisierte Dienste für Audio- und Video-Konferenzen, um online kommunizieren zu können. Wir können damit beispielsweise virtuelle Besprechungen abhalten oder Online-Unterricht und Webinare durchführen. Für die Teilnahme an Audio- und Video-Konferenzen gelten ergänzend die Rechtstexte der einzelnen Dienste wie Datenschutzerklärungen und Nutzungsbedingungen.
Wir empfehlen, je nach Lebenssituation bei der Teilnahme an Audio- oder Video-Konferenzen das Mikrofon standardmässig stumm zu schalten sowie den Hintergrund unscharf zu stellen oder einen virtuellen Hintergrund einblenden zu lassen.
Wir nutzen insbesondere:
- Google Meet: Video-Konferenzen; Anbieterin: Google; Google Meet-spezifische Angaben: «Google Meet – Sicherheit und Datenschutz für Nutzer».
- Webex: Video-Konferenzen; Anbieterin: Cisco Systems Inc. (USA); Angaben zum Datenschutz: «Cisco Online-Datenschutzrichtlinie», «Compliance und Zertifizierungen für Cisco Webex».
- Zoom: Video-Konferenzen; Anbieterin: Zoom Video Communications Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung, «Datenschutz bei Zoom», «Rechtskonformitäts-Center».
11.3 Online-Zusammenarbeit
Wir nutzen Dienste von Dritten, um die Online-Zusammenarbeit zu ermöglichen. Es gelten ergänzend zu dieser Datenschutzerklärung jeweils auch allenfalls direkt ersichtliche Bedingungen der genutzten Dienste wie beispielsweise Nutzungsbedingungen oder Datenschutzerklärungen.
Wir nutzen insbesondere:
- Miro: Whiteboard-Plattform; Anbieterin: RealtimeBoard Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung, «Vertrauen in Miro» («Miro Trust Center»).
- Notion: Plattform für Team-Zusammenarbeit; Anbieterin: Notion Labs Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung, «Sicherheit & Datenschutz» («Security & Privacy»), Cookie-Richtlinie.
- Slack: Plattform für produktive Zusammenarbeit, insbesondere per Chat; Anbieterinnen: Slack Technologies LLC (USA) für Nutzerinnen und Nutzer in Kanada und in den USA / Slack Technologies Limited (Irland) für Nutzerinnen und Nutzer im Rest der Welt; Angaben zum Datenschutz: Datenschutzerklärung, «Trust Center», «Häufige Fragen zum Datenschutz», «Daten-Management: Transparenz und Übersichtlichkeit», Cookie-Richtlinie.
- Microsoft Teams: Plattform für die produktive Zusammenarbeit, insbesondere mit Audio- und Video-Konferenzen; Anbieterin: Microsoft; Teams-spezifische Angaben: «Datenschutz und Microsoft Teams».
11.4 Social Media-Funktionen und Social Media-Inhalte
Wir nutzen Dienste und Plugins von Dritten, um Funktionen und Inhalte von Social Media-Plattformen einbetten zu können sowie um das Teilen von Inhalten auf Social Media-Plattformen und auf anderen Wegen zu ermöglichen.
Wir nutzen insbesondere:
- Instagram-Plattform: Einbetten von Instagram-Inhalten; Anbieterinnen: Meta Platforms Ireland Limited (Irland) und weitere Meta-Unternehmen (unter anderem in den USA); Angaben zum Datenschutz: Datenschutzerklärung (Instagram), Datenschutzerklärung (Facebook).
11.5 Kartenmaterial
Wir nutzen Dienste von Dritten, um Karten in unsere Website einbetten zu können.
Wir nutzen insbesondere:
- Google Maps einschliesslich Google Maps Platform: Kartendienst; Anbieterin: Google; Google Maps-spezifische Angaben: «Wie Google Standortinformationen verwendet».
- map.search.ch: Kartendienst; Anbieterin: Swisscom Directories AG (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung, «Nutzungsbedingungen», insbesondere «Nutzungsrechte für eigene Zwecke».
- Outdooractive: Kartendienst; Anbieterin: Outdooractive AG (Deutschland); Angaben zum Datenschutz: Datenschutzerklärung.
11.6 Digitale Audio- und Video-Inhalte
Wir nutzen Dienste von spezialisierten Dritten, um das direkte Abspielen von digitalen Audio- und Video-Inhalten wie beispielsweise Musik oder Podcasts zu ermöglichen.
Wir nutzen insbesondere:
- YouTube: Video-Plattform; Anbieterin: Google; YouTube-spezifische Angaben: «Datenschutz- und Sicherheitscenter», «Meine Daten auf YouTube».
11.7 Dokumente
Wir nutzen Dienste von Dritten, um Dokumente in unsere Website einbinden zu können. Solche Dokumente können PDF-Dateien, Präsentationen, Tabellen und Textdokumente umfassen. Wir können damit nicht nur das Betrachten, sondern auch das Bearbeiten oder Kommentieren solcher Dokumente ermöglichen.
Wir nutzen insbesondere:
- Issuu: Digitale Dokumente und elektronische Publikationen; Anbieterin: Issuu Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung.
11.8 Schriftarten
Wir nutzen Dienste von Dritten, um ausgewählte Schriftarten sowie Icons, Logos und Symbole in unsere Website einbetten zu können.
Wir nutzen insbesondere:
- Google Fonts: Schriftarten; Anbieterin: Google; Google Fonts-spezifische Angaben: «Ihre Privatsphäre und Google Fonts» («Your Privacy and Google Fonts»), «Datenschutz und Datenerfassung».
11.9 E-Commerce
Wir betreiben E-Commerce und nutzen Dienste von Dritten, um Dienstleistungen, Inhalte oder Waren erfolgreich anbieten zu können.
Wir nutzen insbesondere:
- TOMAS: Buchungsplattform; Anbieterin: my.IRS GmbH (Deutschland); Angaben zum Datenschutz: Datenschutzerklärung.
11.10 Zahlungen
Wir nutzen spezialisierte Dienstleister, um Zahlungen unserer Kundinnen und Kunden sicher und zuverlässig abwickeln zu können. Für die Abwicklung von Zahlungen gelten ergänzend die Rechtstexte der einzelnen Dienstleister wie Allgemeine Geschäftsbedingungen (AGB) oder Datenschutzerklärungen.
Wir nutzen insbesondere:
- Datatrans: Abwicklung von Zahlungen; Anbieterin: Datatrans AG (Schweiz); Angaben zum Datenschutz: Datenschutzbestimmungen, «Security & Compliance».
- PayPal (einschliesslich Braintree): Abwicklung von Zahlungen; Anbieterinnen: PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) / PayPal Pte. Ltd. (Singapur); Angaben zum Datenschutz: Datenschutzerklärung, «Erklärung zu Cookies und Tracking-Technologien».
- PostFinance: Abwicklung von Zahlungen; Anbieterin: PostFinance AG (Schweiz); Angaben zum Datenschutz: «Rechtliche Hinweise und Barrierefreiheit», «Datenschutz» (einschliesslich Datenschutzerklärungen).
- TWINT: Abwicklung von Zahlungen in der Schweiz; Anbieterin: TWINT AG (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung, «Sicherheit nach Schweizer Standards».
- Worldline: Abwicklung von Zahlungen, insbesondere mit mobilen Zahlungslösungen; Anbieterinnen: Worldline SA (Frankreich), Worldline Schweiz AG (Schweiz) und weitere Worldline-Gesellschaften in aller Welt (unter anderem in den USA); Angaben zum Datenschutz: Datenschutzerklärung, «Programm zum verantwortungsvollen Umgang mit Daten», Cookie-Richtlinie.
11.11 Werbung
Wir nutzen die Möglichkeit, gezielt Werbung bei Dritten wie beispielsweise Social Media-Plattformen und Suchmaschinen für unsere Aktivitäten und Tätigkeiten anzeigen zu lassen.
Wir möchten mit solcher Werbung insbesondere Personen erreichen, die sich für unsere Aktivitäten und Tätigkeiten bereits interessieren oder sich dafür interessieren könnten (Remarketing und Targeting). Dafür können wir entsprechende – allenfalls auch personenbezogene – Angaben an Dritte, die solche Werbung ermöglichen, übermitteln. Wir können ausserdem feststellen, ob unsere Werbung erfolgreich ist, das heisst insbesondere, ob sie zu Besuchen auf unserer Website führt (Conversion Tracking).
Dritte, bei denen wir werben und bei denen Sie als Nutzerin oder Nutzer angemeldet sind, können die Nutzung unserer Website allenfalls Ihrem dortigen Profil zuordnen.
Wir nutzen insbesondere:
- Facebook-Werbung (Facebook Ads): Social Media-Werbung; Anbieterinnen: Meta Platforms Ireland Limited (Irland) und weitere Meta-Unternehmen (unter anderem in den USA); Angaben zum Datenschutz: Remarketing und Targeting insbesondere mit dem Facebook-Pixel sowie Custom Audiences einschliesslich Lookalike Audiences, Datenschutzerklärung, «Werbepräferenzen» (Anmeldung als Nutzerin oder Nutzer erforderlich).
- Google Ads: Suchmaschinen-Werbung; Anbieterin: Google; Google Ads-spezifische Angaben: Werbung unter anderem aufgrund von Suchanfragen, wobei verschiedene Domainnamen – insbesondere doubleclick.net, googleadservices.com und googlesyndication.com – für Google Ads verwendet werden, «Werbung» (Google), «Eingeblendete Werbung direkt über Anzeigen verwalten».
- Instagram Ads: Social Media-Werbung; Anbieterinnen: Meta Platforms Ireland Limited (Irland) und weitere Meta-Unternehmen (unter anderem in den USA); Angaben zum Datenschutz: Remarketing und Targeting insbesondere mit Facebook-Pixel sowie Custom Audiences einschliesslich Lookalike Audiences, Datenschutzerklärung (Instagram), Datenschutzerklärung (Facebook), «Werbepräferenzen» (Instagram) (Anmeldung als Nutzerin oder Nutzer erforderlich), «Werbepräferenzen» (Facebook) (Anmeldung als Nutzerin oder Nutzer erforderlich).
- Microsoft Advertising: Suchmaschinen-Werbung bei Bing, DuckDuckGo und Yahoo!; Anbieterin: Microsoft; Microsoft Advertising-spezifische Angaben: «Microsoft Advertising-Datenschutzrichtlinien», «Microsoft Advertising-Richtlinien: Rechtliches, Datenschutz und Sicherheit», «Einstellungen für Werbung» (Widerspruch gegen personalisierte Werbung).
12. Erfolgs- und Reichweitenmessung
Wir versuchen zu ermitteln, wie unser Online-Angebot genutzt wird. In diesem Rahmen können wir beispielsweise den Erfolg und die Reichweite unserer Aktivitäten und Tätigkeiten sowie die Wirkung von Verlinkungen Dritter auf unsere Website messen. Wir können aber beispielsweise auch ausprobieren und vergleichen, wie unterschiedliche Teile oder Versionen unseres Online-Angebotes genutzt werden («A/B-Test»-Methode). Aufgrund der Ergebnisse der Erfolgs- und Reichweitenmessung können wir insbesondere Fehler beheben, beliebte Inhalte stärken oder Verbesserungen an unserem Online-Angebot vornehmen.
Für die Erfolgs- und Reichweitenmessung werden in den meisten Fällen die IP-Adressen von einzelnen Nutzerinnen und Nutzern gespeichert. IP-Adressen werden in diesem Fall grundsätzlich gekürzt («IP-Masking»), um durch die entsprechende Pseudonymisierung dem Grundsatz der Datensparsamkeit zu folgen.
Bei der Erfolgs- und Reichweitenmessung können Cookies zum Einsatz kommen und Nutzerprofile erstellt werden. Allenfalls erstellte Nutzerprofile umfassen beispielsweise die besuchten einzelnen Seiten oder betrachteten Inhalte auf unserer Website, Angaben zur Grösse von Bildschirm oder Browser-Fenster und den – zumindest ungefähren – Standort. Grundsätzlich werden allfällige Nutzerprofile ausschliesslich pseudonymisiert erstellt und nicht für die Identifizierung einzelner Nutzerinnen und Nutzer verwendet. Einzelne Dienste von Dritten, bei denen Nutzerinnen oder Nutzer angemeldet sind, können die Nutzung unseres Online-Angebotes allenfalls dem Nutzerkonto oder Nutzerprofil beim jeweiligen Dienst zuordnen.
Wir nutzen insbesondere:
- fusedeck: Erfolgs- und Reichweitenmessung; Anbieterin: Capture Media AG (Schweiz); Angaben zum Datenschutz: «Daten & Datenschutz», Datenschutzerklärung.
- Google Tag Manager: Einbindung und Verwaltung von sonstigen Diensten für die Erfolgs- und Reichweitenmessung sowie weiteren Diensten von Google als auch von Dritten; Anbieterin: Google; Google Tag Manager-spezifische Angaben: «Mit Google Tag Manager erfasste Daten»; weitere Angaben zum Datenschutz finden sich bei den einzelnen eingebundenen und verwalteten Diensten.
13. Schlussbestimmungen
Wir haben diese Datenschutzerklärung mit dem Datenschutz-Generator von Datenschutzpartner erstellt.
Wir können diese Datenschutzerklärung jederzeit anpassen und ergänzen. Wir werden über solche Anpassungen und Ergänzungen in geeigneter Form informieren, insbesondere durch Veröffentlichung der jeweils aktuellen Datenschutzerklärung auf unserer Website.
Privacy Policy
With this Privacy Policy, we inform you which personal data we process in connection with our activities and operations, including our surselva.info website. In particular, we inform you for what purpose, how, and where we process which personal data. We also inform you about the rights of individuals whose data we process.
For individual or additional activities and operations, additional privacy policies and other legal documents such as General Terms and Conditions (GTC), Terms of Use, or Participation Conditions may apply.
We are subject to Swiss data protection law and any applicable foreign data protection law, such as, in particular, that of the European Union (EU) with the European General Data Protection Regulation (GDPR).
On 26 July 2000, the European Commission recognized that Swiss data protection law ensures adequate data protection. In a report dated 15 January 2024, the European Commission confirmed this adequacy decision.
1. Contact Addresses
Responsible for processing personal data:
Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz
In individual cases, there may be other responsible parties for processing personal data or joint responsibility with at least one other responsible party.
1.1 Data Protection Officer or Data Protection Advisor
We have the following data protection officer or data protection advisor as a contact point for affected individuals and authorities regarding inquiries related to data protection:
Maik Deschmann
Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz
1.2 Data Protection Representation in the European Economic Area (EEA)
We have the following data protection representation in accordance with Art. 27 GDPR:
VGS Datenschutzpartner GmbH
Am Kaiserkai 69
20457 Hamburg
Germany
The data protection representation serves as an additional contact point for affected individuals and authorities in the European Union (EU) and the rest of the European Economic Area (EEA) for inquiries related to the GDPR.
2. Terms and Legal Bases
2.1 Terms
Personal data is any information that relates to an identified or identifiable natural person.
Particularly sensitive personal data includes data on union membership, political opinions, religious or philosophical beliefs and activities, health data, private life data, racial or ethnic origin, genetic data, biometric data that uniquely identify a natural person, data on criminal and administrative sanctions or prosecutions, and data on social assistance measures.
Processing includes any handling of personal data, regardless of the means and procedures used, such as querying, matching, adjusting, archiving, storing, reading, disclosing, acquiring, collecting, deleting, disclosing, organizing, storing, modifying, disseminating, linking, destroying, and using personal data.
An affected person is a natural person whose personal data we process.
The European Economic Area (EEA) includes the member states of the European Union (EU) as well as the Principality of Liechtenstein, Iceland, and Norway.
The General Data Protection Regulation (GDPR) refers to the processing of personal data as the processing of personal data and the processing of particularly sensitive personal data as the processing of special categories of personal data (Art. 9 GDPR).
2.2 Legal Bases
We process personal data in accordance with Swiss data protection law, such as the Federal Act on Data Protection (Data Protection Act, DPA) and the Ordinance to the Data Protection Act (Data Protection Ordinance, DPO).
We process personal data – to the extent that the General Data Protection Regulation (GDPR) is applicable – in accordance with at least one of the following legal bases:
- Art. 6(1)(b) GDPR for the necessary processing of personal data for the performance of a contract with the data subject and for the implementation of pre-contractual measures.
- Art. 6(1)(f) GDPR for the necessary processing of personal data to safeguard our legitimate interests or those of third parties, provided that the fundamental freedoms and rights as well as the interests of the data subject do not outweigh them. Legitimate interests include, in particular, our interest in being able to carry out our activities and operations permanently, user-friendly, securely, and reliably, as well as being able to communicate about them, ensuring information security, preventing misuse, enforcing our legal claims, and complying with Swiss law.
- Art. 6(1)(c) GDPR for the necessary processing of personal data to fulfill a legal obligation to which we are subject under any applicable law of member states in the European Economic Area (EEA).
- Art. 6(1)(e) GDPR for the necessary processing of personal data to perform a task carried out in the public interest.
- Art. 6(1)(a) GDPR for the processing of personal data with the consent of the data subject.
- Art. 6(1)(d) GDPR for the necessary processing of personal data to protect the vital interests of the data subject or another natural person.
3. Nature, Scope, and Purpose
We process the personal data that is necessary to be able to carry out our activities and operations permanently, user-friendly, securely, and reliably. Such personal data may, in particular, fall into the categories of inventory and contact data, browser and device data, content data, meta or margin data, usage data, location data, sales data, and contract and payment data.
We process personal data for the duration that is necessary for the respective purpose(s) or as required by law. Personal data that is no longer required is anonymized or deleted.
We may have personal data processed by third parties. We may process personal data jointly with third parties or transfer it to third parties. Such third parties are, in particular, specialized providers whose services we use. We ensure data protection with such third parties as well.
We process personal data primarily with the consent of the data subjects. To the extent that processing is permissible for other legal reasons, we may waive obtaining consent. For example, we may process personal data without consent to fulfill a contract, to comply with legal obligations, or to protect overriding interests.
We also process personal data that we receive from third parties, obtain from publicly accessible sources, or collect in the course of our activities and operations, to the extent that such processing is permissible for legal reasons.
4. Communication
We process personal data to communicate with third parties. In this context, we process, in particular, data that a data subject transmits when contacting us, for example, by letter post or e-mail. We may store such data in an address book or similar tools.
Third parties who transmit data about other persons are required to ensure data protection towards such data subjects. This includes ensuring, among other things, the accuracy of the transmitted personal data.
We use selected services from suitable providers to communicate better with third parties.
In particular, we use:
- HubSpot: Customer Relationship Management (CRM); Providers: HubSpot Inc. (USA) / HubSpot Ireland Limited (Ireland) for users in the European Economic Area (EEA) and the United Kingdom; Information on data protection: Privacy Policy, “Security, Privacy, and Control Mechanisms”, “Trust Center”.
- Typeform: Online Form Service; Provider: TYPEFORM SL (Spain); Information on data protection: Privacy Policy, “Security & Privacy Standards at Typeform”.
5. Data Security
We take appropriate technical and organizational measures to ensure a level of data security appropriate to the respective risk. With our measures, we ensure, in particular, the confidentiality, availability, traceability, and integrity of the processed personal data, although we cannot guarantee absolute data security.
Access to our website and our other online presence is via transport encryption (SSL / TLS, especially with Hypertext Transfer Protocol Secure, abbreviated HTTPS). Most browsers indicate transport encryption with a small padlock in the address bar.
Our digital communication is subject – like basically any digital communication – to mass surveillance without cause and suspicion by security authorities in Switzerland, the rest of Europe, the United States of America (USA), and other countries. We have no direct influence on the corresponding processing of personal data by intelligence services, police authorities, and other security authorities. We also cannot exclude the possibility that individual affected persons may be specifically monitored.
6. Personal Data Abroad
We process personal data primarily in Switzerland and the European Economic Area (EEA). However, we may also export or transfer personal data to other countries, in particular, to process it there or have it processed.
We can export personal data to all countries and territories on Earth and elsewhere in the universe, provided that the local law ensures adequate data protection according to a decision by the Swiss Federal Council and – to the extent that the General Data Protection Regulation (GDPR) is applicable – according to a decision by the European Commission.
We may transfer personal data to countries that do not ensure adequate data protection, provided that data protection is ensured for other reasons, in particular based on standard data protection clauses or other appropriate safeguards. In exceptional cases, we may export personal data to countries without adequate or appropriate data protection if the special data protection requirements are met, such as the express consent of the data subjects or a direct connection with the conclusion or performance of a contract. We are happy to provide affected individuals with information on any guarantees or provide a copy of any guarantees upon request.
7. Rights of Affected Persons
7.1 Data Protection Claims
We grant affected individuals all claims according to the applicable data protection law. Affected individuals have, in particular, the following rights:
- Information: Affected individuals can request information about whether we process personal data about them and, if so, which personal data is involved. Affected individuals also receive the information necessary to assert their data protection claims and to ensure transparency. This includes the processed personal data as such, but also information on the purpose of processing, the duration of retention, any disclosure or export of data to other countries, and the origin of the personal data.
- Correction and Restriction: Affected individuals can correct incorrect personal data, complete incomplete data, and restrict the processing of their data.
- Deletion and Objection: Affected individuals can have personal data deleted (“right to be forgotten”) and object to the processing of their data with effect for the future.
- Data Release and Data Transfer: Affected individuals can request the release of personal data or the transfer of their data to another responsible party.
We may defer, restrict, or refuse the exercise of the rights of affected individuals within the legally permissible framework. We may point out to affected individuals any conditions that must be met to exercise their data protection claims. For example, we may completely or partially refuse to provide information by referring to business secrets or the protection of other persons. For example, we may also refuse to delete personal data by referring to legal retention obligations completely or partially.
We may, exceptionally, charge costs for exercising rights. We inform affected individuals in advance about any costs.
We are obliged to identify affected individuals who request information or assert other rights with reasonable measures. Affected individuals are required to cooperate.
7.2 Legal Protection
Affected individuals have the right to assert their data protection claims through legal action or to file a complaint with a competent data protection supervisory authority.
The data protection supervisory authority for complaints by affected individuals against private controllers and federal bodies in Switzerland is the Federal Data Protection and Information Commissioner (FDPIC).
European data protection supervisory authorities for complaints by affected individuals – to the extent that the General Data Protection Regulation (GDPR) is applicable – are organized as members of the European Data Protection Board (EDPB). In some member states in the European Economic Area (EEA), the data protection supervisory authorities are federally structured, particularly in Germany.
8. Use of the Website
8.1 Cookies
We may use cookies. Cookies – both our cookies (first-party cookies) and cookies from third parties whose services we use (third-party cookies) – are data stored in the browser. Such stored data does not have to be limited to traditional text-based cookies.
Cookies can be stored in the browser temporarily as “session cookies” or for a certain period as so-called permanent cookies. “Session cookies” are automatically deleted when the browser is closed. Permanent cookies have a specific storage duration. Cookies enable, in particular, the recognition of a browser on the next visit to our website and thus, for example, the measurement of the reach of our website. Permanent cookies can also be used, for example, for online marketing.
Cookies can be completely or partially disabled and deleted in the browser settings at any time. Without cookies, our website may no longer be available to its full extent. We request – at least to the extent required – active consent to the use of cookies.
For cookies used for performance and reach measurement or advertising, a general objection (“opt-out”) is possible for many services through the AdChoices (Digital Advertising Alliance of Canada), the Network Advertising Initiative (NAI), YourAdChoices (Digital Advertising Alliance), or Your Online Choices (European Interactive Digital Advertising Alliance, EDAA).
8.2 Logging
We may log at least the following information for each access to our website and our other online presence, to the extent that such information is transmitted to our digital infrastructure: date and time including time zone, IP address, access status (HTTP status code), operating system including user interface and version, browser including language and version, individual sub-page of our website accessed including the amount of data transferred, the last web page accessed in the same browser window (referrer).
We log such information, which may also constitute personal data, in log files. This information is necessary to be able to provide our online presence permanently, user-friendly, and reliably. This information is also necessary to ensure data security – also by third parties or with the help of third parties.
8.3 Tracking Pixels
We may use tracking pixels on our online presence. Tracking pixels are also referred to as web beacons. Tracking pixels – also from third parties whose services we use – are usually small, invisible images or JavaScript scripts that are automatically loaded when accessing our online presence. With tracking pixels, at least the same information as in log files can be recorded.
9. Notifications and Communications
We send notifications and communications by e-mail and other communication channels such as instant messaging or SMS.
9.1 Performance and Reach Measurement
Notifications and communications may contain web links or tracking pixels that record whether an individual notification was opened and which web links were clicked. Such web links and tracking pixels can also track the use of notifications and communications on a personal basis. We need this statistical recording of usage to measure performance and reach, to be able to send notifications and communications effectively and user-friendly, as well as permanently, securely, and reliably, based on the needs and reading habits of the recipients.
9.2 Consent and Objection
As a general rule, you must consent to the use of your e-mail address and other contact addresses unless the use is permissible for other legal reasons. For obtaining any double-confirmed consent, we may use the “double opt-in” procedure. In this case, you will receive a notification with instructions for double confirmation. We may log obtained consents, including IP address and timestamp, for proof and security reasons.
As a general rule, you can object to receiving notifications and communications such as newsletters at any time. With such an objection, you can also object to the statistical recording of usage for performance and reach measurement. Required notifications and communications in connection with our activities and operations remain reserved.
9.3 Service Providers for Notifications and Communications
We send notifications and communications with the help of specialized service providers.
10. Social Media
We are present on social media platforms and other online platforms to communicate with interested persons and to inform about our activities and operations. In connection with such platforms, personal data may also be processed outside Switzerland and the European Economic Area (EEA).
The General Terms and Conditions (GTC) and Terms of Use, as well as Privacy Policies and other provisions of the individual operators of such platforms, apply. These provisions inform in particular about the rights of affected individuals directly towards the respective platform, which includes, for example, the right to information.
For our social media presence on Facebook, including so-called Page Insights, we – to the extent that the General Data Protection Regulation (GDPR) is applicable – are jointly responsible with Meta Platforms Ireland Limited (Ireland). Meta Platforms Ireland Limited is part of the Meta companies (including in the USA). Page Insights provide insights into how visitors interact with our Facebook presence. We use Page Insights to be able to provide our social media presence on Facebook effectively and user-friendly.
Further information about the nature, scope, and purpose of data processing, information on the rights of affected individuals, as well as the contact details of Facebook and Facebook's data protection officer can be found in the Facebook Privacy Policy. We have concluded the so-called “Controller Addendum” with Facebook and have agreed, in particular, that Facebook is responsible for ensuring the rights of affected individuals. For the so-called Page Insights, the relevant information can be found on the page “Information about Page Insights”, including “Information about Page Insights Data”.
Users of social media platforms have the option to log in or register with our online offer using their corresponding user account (“Social Login”). The respective conditions of the relevant social media platforms apply.
11. Services from Third Parties
We use services from specialized third parties to be able to carry out our activities and operations permanently, user-friendly, securely, and reliably. With such services, we can, among other things, embed functions and content into our website. For such embedding, the services used must, for technical reasons, temporarily collect at least the IP addresses of the users.
For necessary security-related, statistical, and technical purposes, third parties whose services we use may process data related to our activities and operations in aggregated, anonymized, or pseudonymized form. These may include performance or usage data to be able to provide the respective service.
In particular, we use:
- Google Services: Providers: Google LLC (USA) / Google Ireland Limited (Ireland) for users in the European Economic Area (EEA) and in Switzerland; General information on data protection: “Privacy and Security Principles”, Privacy Policy, “Google is committed to complying with applicable data protection laws”, “Product Privacy Guide”, “How we use data from sites or apps that use our services” (Google information), “Types of cookies and similar technologies used by Google”, “Advertising, over which you have control” (“Personalized Advertising”).
- Microsoft Services: Providers: Microsoft Ireland Operations Limited (Ireland) for users in the European Economic Area (EEA), in Switzerland, and in the United Kingdom / Microsoft Corporation (USA) for users in the rest of the world; General information on data protection: “Privacy at Microsoft”, “Privacy and Data Protection”, Privacy Policy, “Data and Privacy Settings”.
11.1 Digital Infrastructure
We use services from specialized third parties to access the required digital infrastructure in connection with our activities and operations. These include, for example, hosting and storage services from selected providers.
11.2 Audio and Video Conferences
We use specialized services for audio and video conferences to communicate online. We can hold virtual meetings or conduct online lessons and webinars with them. The legal texts of the individual services, such as privacy policies and terms of use, apply in addition to the participation in audio and video conferences.
Depending on your life situation, we recommend muting the microphone by default during participation in audio or video conferences and blurring the background or using a virtual background.
In particular, we use:
- Google Meet: Video Conferences; Provider: Google; Google Meet-specific information: “Google Meet – Security and Privacy for Users”.
- Webex: Video Conferences; Provider: Cisco Systems Inc. (USA); Information on data protection: “Cisco Online Privacy Statement”, “Compliance and Certifications for Cisco Webex”.
- Zoom: Video Conferences; Provider: Zoom Video Communications Inc. (USA); Information on data protection: Privacy Policy, “Privacy at Zoom”, “Legal Compliance Center”.
11.3 Online Collaboration
We use services from third parties to enable online collaboration. In addition to this privacy policy, the conditions of the services used, such as terms of use or privacy policies, are directly visible and apply.
In particular, we use:
- Miro: Whiteboard Platform; Provider: RealtimeBoard Inc. (USA); Information on data protection: Privacy Policy, “Trust in Miro” (“Miro Trust Center”).
- Notion: Team Collaboration Platform; Provider: Notion Labs Inc. (USA); Information on data protection: Privacy Policy, “Security & Privacy”, Cookie Notice.
- Slack: Platform for Productive Collaboration, particularly via chat; Providers: Slack Technologies LLC (USA) for users in Canada and the USA / Slack Technologies Limited (Ireland) for users in the rest of the world; Information on data protection: Privacy Policy, “Trust Center”, “Privacy FAQs”, “Data Management: Transparency and Clarity”, Cookie Policy.
- Microsoft Teams: Platform for Productive Collaboration, particularly with audio and video conferences; Provider: Microsoft; Teams-specific information: “Privacy and Microsoft Teams”.
11.4 Social Media Functions and Social Media Content
We use services and plugins from third parties to embed functions and content from social media platforms and to enable the sharing of content on social media platforms and in other ways.
In particular, we use:
- Instagram Platform: Embedding Instagram content; Providers: Meta Platforms Ireland Limited (Ireland) and other Meta companies (including in the USA); Information on data protection: Privacy Policy (Instagram), Privacy Policy (Facebook).
11.5 Maps
We use services from third parties to embed maps into our website.
In particular, we use:
- Google Maps including Google Maps Platform: Map Service; Provider: Google; Google Maps-specific information: “How Google Uses Location Data”.
- map.search.ch: Map Service; Provider: Swisscom Directories AG (Switzerland); Information on data protection: Privacy Policy, “Terms of Use”, particularly “Usage Rights for Own Purposes”.
- Outdooractive: Map Service; Provider: Outdooractive AG (Germany); Information on data protection: Privacy Policy.
11.6 Digital Audio and Video Content
We use services from specialized third parties to enable the direct playback of digital audio and video content, such as music or podcasts.
In particular, we use:
- YouTube: Video Platform; Provider: Google; YouTube-specific information: “Privacy and Security Center”, “My Data on YouTube”.
11.7 Documents
We use services from third parties to embed documents into our website. Such documents may include PDF files, presentations, spreadsheets, and text documents. We can thus enable not only viewing but also editing or commenting on such documents.
In particular, we use:
- Issuu: Digital Documents and Electronic Publications; Provider: Issuu Inc. (USA); Information on data protection: Privacy Policy.
11.8 Fonts
We use services from third parties to embed selected fonts as well as icons, logos, and symbols into our website.
In particular, we use:
- Google Fonts: Fonts; Provider: Google; Google Fonts-specific information: “Your Privacy and Google Fonts”, “Privacy and Data Collection”.
11.9 E-Commerce
We operate e-commerce and use services from third parties to successfully offer services, content, or goods.
In particular, we use:
- TOMAS: Booking Platform; Provider: my.IRS GmbH (Germany); Information on data protection: Privacy Policy.
11.10 Payments
We use specialized service providers to process payments from our customers securely and reliably. The legal texts of the individual service providers, such as General Terms and Conditions (GTC) or privacy policies, apply in addition to the processing of payments.
In particular, we use:
- Datatrans: Payment Processing; Provider: Datatrans AG (Switzerland); Information on data protection: Privacy Policy, “Security & Compliance”.
- PayPal (including Braintree): Payment Processing; Providers: PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxembourg) / PayPal Pte. Ltd. (Singapore); Information on data protection: Privacy Policy, “Cookie and Tracking Technologies Policy”.
- PostFinance: Payment Processing; Provider: PostFinance AG (Switzerland); Information on data protection: “Legal Notices and Accessibility”, “Data Protection” (including privacy policies).
- TWINT: Payment Processing in Switzerland; Provider: TWINT AG (Switzerland); Information on data protection: Privacy Policy, “Security by Swiss Standards”.
- Worldline: Payment Processing, particularly with mobile payment solutions; Providers: Worldline SA (France), Worldline Switzerland AG (Switzerland) and other Worldline companies worldwide (including in the USA); Information on data protection: Privacy Policy, “Responsible Disclosure Program”, Cookie Notice.
11.11 Advertising
We use the option to display advertising to third parties such as social media platforms and search engines for our activities and operations.
We aim to reach people who are already interested in our activities and operations or who might be interested (remarketing and targeting). For this purpose, we may transmit corresponding – potentially also personal – information to third parties that enable such advertising. We can also determine whether our advertising is successful, i.e., in particular, whether it leads to visits to our website (conversion tracking).
Third parties with whom we advertise and where you, as a user, are logged in may associate the use of our website with your profile there.
In particular, we use:
- Facebook Ads: Social Media Advertising; Providers: Meta Platforms Ireland Limited (Ireland) and other Meta companies (including in the USA); Information on data protection: Remarketing and targeting, in particular with the Facebook Pixel and Custom Audiences, including Lookalike Audiences, Privacy Policy, “Ad Preferences” (user login required).
- Google Ads: Search Engine Advertising; Provider: Google; Google Ads-specific information: Advertising, including based on search queries, with various domain names – particularly doubleclick.net, googleadservices.com, and googlesyndication.com – used for Google Ads, “Advertising” (Google), “Manage the ads you see directly through My Ad Center”.
- Instagram Ads: Social Media Advertising; Providers: Meta Platforms Ireland Limited (Ireland) and other Meta companies (including in the USA); Information on data protection: Remarketing and targeting, in particular with Facebook Pixel and Custom Audiences, including Lookalike Audiences, Privacy Policy (Instagram), Privacy Policy (Facebook), “Ad Preferences” (Instagram) (user login required), “Ad Preferences” (Facebook) (user login required).
- Microsoft Advertising: Search Engine Advertising on Bing, DuckDuckGo, and Yahoo!; Provider: Microsoft; Microsoft Advertising-specific information: “Microsoft Advertising Privacy Policy”, “Microsoft Advertising Policies: Legal, Privacy, and Security”, “Ad Settings” (opt-out of personalized advertising).
12. Performance and Reach Measurement
We try to determine how our online offer is used. In this context, we can, for example, measure the success and reach of our activities and operations as well as the impact of third-party links to our website. However, we can also try and compare how different parts or versions of our online offer are used (“A/B test” method). Based on the results of performance and reach measurement, we can, in particular, fix errors, strengthen popular content, or make improvements to our online offer.
For performance and reach measurement, the IP addresses of individual users are stored in most cases. IP addresses are, in this case, generally shortened (“IP masking”) to follow the principle of data minimization through corresponding pseudonymization.
In performance and reach measurement, cookies may be used and user profiles created. Any user profiles created may include, for example, the individual pages visited or viewed content on our website, information on the size of the screen or browser window, and – at least approximately – the location. Generally, any user profiles are created exclusively pseudonymized and not used to identify individual users. Individual services from third parties, where users are logged in, may associate the use of our online offer with the user account or user profile with the respective service.
In particular, we use:
- fusedeck: Performance and Reach Measurement; Provider: Capture Media AG (Switzerland); Information on data protection: “Data & Privacy”, Privacy Policy.
- Google Tag Manager: Embedding and managing other services for performance and reach measurement and other services from Google as well as third parties; Provider: Google; Google Tag Manager-specific information: “Data collected with Google Tag Manager”; further information on data protection can be found in the individual embedded and managed services.
13. Final Provisions
We have created this privacy policy with the privacy policy generator from Datenschutzpartner. The present privacy policy is an unofficial translation from the original German version.
We can adapt and supplement this privacy policy at any time. We will inform about such adaptations and supplements in an appropriate form, in particular by publishing the current privacy policy on our website.