Datenschutz

Datenschutzerklärung

Mit dieser Datenschutzerklärung informieren wir, welche Personendaten wir im Zusammenhang mit unseren Aktivitäten und Tätigkeiten einschliesslich unserer surselva.info-Website bearbeiten. Wir informieren insbesondere, wofür, wie und wo wir welche Personendaten bearbeiten. Wir informieren ausserdem über die Rechte von Personen, deren Daten wir bearbeiten.

Für einzelne oder zusätzliche Aktivitäten und Tätigkeiten können weitere Datenschutzerklärungen sowie sonstige rechtliche Dokumente wie Allgemeine Geschäftsbedingungen (AGB), Nutzungsbedingungen oder Teilnahmebedingungen gelten.

Wir unterliegen dem schweizerischen Datenschutzrecht sowie allenfalls anwendbarem ausländischem Datenschutzrecht wie insbesondere jenem der Europäischen Union (EU) mit der Datenschutz-Grundverordnung (DSGVO). Die Europäische Kommission anerkennt, dass das schweizerische Datenschutzrecht einen angemessenen Datenschutz gewährleistet.

1. Kontaktadressen

Verantwortung für die Bearbeitung von Personendaten:

Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz

marketing@surselva.info

Wir weisen darauf hin, wenn es im Einzelfall andere Verantwortliche für die Bearbeitung von Personendaten gibt.

1.1 Datenschutzbeauftragte bzw. Datenschutzberater

Wir verfügen über die nachfolgende Datenschutzbeauftragte bzw. den nachfolgenden Datenschutzberater als Anlaufstelle für betroffene Personen und Behörden bei Anfragen im Zusammenhang mit dem Datenschutz:

Kevin Brunold
Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz

marketing@surselva.info

1.2 Datenschutz-Vertretung im Europäischen Wirtschaftsraum (EWR)

Wir verfügen über nachfolgende Datenschutz-Vertretung gemäss Art. 27 DSGVO:

VGS Datenschutz­partner GmbH
Am Kaiserkai 69
20457 Hamburg
Deutschland

marketing@surselva.info

Die Datenschutz-Vertretung dient betroffenen Personen und Behörden in der Europäischen Union (EU) und im übrigen Europäischen Wirtschaftsraum (EWR) als zusätzliche Anlaufstelle für Anfragen im Zusammenhang mit der DSGVO.

2. Begriffe und Rechtsgrundlagen

2.1 Begriffe

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen. Eine betroffene Person ist eine Person, über die wir Personendaten bearbeiten.

Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, beispielsweise das Abfragen, Abgleichen, Anpassen, Archivieren, Aufbewahren, Auslesen, Bekanntgeben, Beschaffen, Erfassen, Erheben, Löschen, Offenlegen, Ordnen, Organisieren, Speichern, Verändern, Verbreiten, Verknüpfen, Vernichten und Verwenden von Personendaten.

Der Europäische Wirtschaftsraum (EWR) umfasst die Mitgliedstaaten der Europäischen Union (EU) sowie das Fürstentum Liechtenstein, Island und Norwegen. Die Datenschutz-Grundverordnung (DSGVO) bezeichnet die Bearbeitung von Personendaten als Verarbeitung von personenbezogenen Daten.

2.2 Rechtsgrundlagen

Wir bearbeiten Personendaten im Einklang mit dem schweizerischen Datenschutzrecht wie insbesondere dem Bundesgesetz über den Datenschutz (Datenschutzgesetz, DSG) und der Verordnung über den Datenschutz (Datenschutzverordnung, DSV).

Wir bearbeiten – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – Personendaten gemäss mindestens einer der folgenden Rechtsgrundlagen:

• Art. 6 Abs. 1 lit. b DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung vorvertraglicher Massnahmen.
• Art. 6 Abs. 1 lit. f DSGVO für die erforderliche Bearbeitung von Personendaten, um die berechtigten Interessen von uns oder von Dritten zu wahren, sofern nicht die Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere unser Interesse, unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben sowie darüber kommunizieren zu können, die Gewährleistung der Informationssicherheit, der Schutz vor Missbrauch, die Durchsetzung von eigenen rechtlichen Ansprüchen und die Einhaltung von schweizerischem Recht.
• Art. 6 Abs. 1 lit. c DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung einer rechtlichen Verpflichtung, der wir gemäss allenfalls anwendbarem Recht von Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) unterliegen.
• Art. 6 Abs. 1 lit. e DSGVO für die erforderliche Bearbeitung von Personendaten zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt.
• Art. 6 Abs. 1 lit. a DSGVO für die Bearbeitung von Personendaten mit Einwilligung der betroffenen Person.
• Art. 6 Abs. 1 lit. d DSGVO für die erforderliche Bearbeitung von Personendaten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schützen.

3. Art, Umfang und Zweck

Wir bearbeiten jene Personendaten, die erforderlich sind, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Solche Personendaten können insbesondere in die Kategorien von Bestandes- und Kontaktdaten, Browser- und Gerätedaten, Inhaltsdaten, Meta- bzw. Randdaten und Nutzungsdaten, Standortdaten, Verkaufsdaten sowie Vertrags- und Zahlungsdaten fallen.

Wir bearbeiten Personendaten während jener Dauer, die für den jeweiligen Zweck bzw. die jeweiligen Zwecke oder gesetzlich erforderlich ist. Personendaten, deren Bearbeitung nicht mehr erforderlich ist, werden anonymisiert oder gelöscht.

Wir können Personendaten durch Dritte bearbeiten lassen. Wir können Personendaten gemeinsam mit Dritten bearbeiten oder an Dritte übermitteln. Bei solchen Dritten handelt es sich insbesondere um spezialisierte Anbieter, deren Leistungen wir in Anspruch nehmen. Wir gewährleisten auch bei solchen Dritten den Datenschutz.

Wir bearbeiten Personendaten grundsätzlich nur mit Einwilligung der betroffenen Personen. Sofern und soweit die Bearbeitung aus anderen rechtlichen Gründen zulässig ist, können wir darauf verzichten, eine Einwilligung einzuholen. Wir können Personendaten beispielsweise ohne Einwilligung bearbeiten, um einen Vertrag zu erfüllen, um rechtlichen Verpflichtungen nachzukommen oder um überwiegende Interessen zu wahren.

In diesem Rahmen bearbeiten wir insbesondere Angaben, die eine betroffene Person bei der Kontaktaufnahme – beispielsweise per Briefpost, E-Mail, Instant Messaging, Kontaktformular, Social Media oder Telefon – oder bei der Registrierung für ein Nutzerkonto freiwillig an uns übermittelt. Wir können solche Angaben beispielsweise in einem Adressbuch, in einem Customer-Relationship-Management-System (CRM-System) oder mit vergleichbaren Hilfsmitteln speichern. Wenn wir Daten über andere Personen übermittelt erhalten, sind die übermittelnden Personen verpflichtet, den Datenschutz gegenüber diesen Personen zu gewährleisten sowie die Richtigkeit dieser Personendaten sicherzustellen.

Wir bearbeiten ausserdem Personendaten, die wir von Dritten erhalten, aus öffentlich zugänglichen Quellen beschaffen oder bei der Ausübung unserer Aktivitäten und Tätigkeiten erheben, sofern und soweit eine solche Bearbeitung aus rechtlichen Gründen zulässig ist.

4. Personendaten im Ausland

Wir bearbeiten Personendaten grundsätzlich in der Schweiz und im Europäischen Wirtschafts­raum (EWR). Wir können Personendaten aber auch in andere Staaten exportieren bzw. übermitteln, insbesondere um sie dort zu bearbeiten oder bearbeiten zu lassen.

Wir können Personendaten in alle Staaten und Territorien auf der Erde sowie anderswo im Universum exportieren, sofern das dortige Recht gemäss Beschluss des Schweizerischen Bundesrates einen angemessenen Datenschutz sowie – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemäss Beschluss der Europäischen Kommission einen angemessenen Datenschutz gewährleistet.

Wir können Personendaten in Staaten, deren Recht keinen angemessenen Datenschutz gewährleistet, übermitteln, sofern der Datenschutz aus anderen Gründen gewährleistet ist, insbesondere auf Grundlage von Standard­datenschutzklauseln oder mit anderen geeigneten Garantien. Ausnahmsweise können wir Personendaten in Staaten ohne angemessenen oder geeigneten Datenschutz exportieren, wenn dafür die besonderen datenschutzrechtlichen Voraussetzungen erfüllt sind, beispielsweise die ausdrückliche Einwilligung der betroffenen Personen oder ein unmittelbarer Zusammenhang mit dem Abschluss oder der Abwicklung eines Vertrages. Wir geben betroffenen Personen auf Nachfrage gerne Auskunft über allfällige Garantien oder liefern eine Kopie allfälliger Garantien.

5. Rechte von betroffenen Personen

5.1 Datenschutzrechtliche Ansprüche

Wir gewähren betroffenen Personen sämtliche Ansprüche gemäss dem anwendbaren Datenschutzrecht. Betroffene Personen verfügen insbesondere über folgende Rechte:

• Auskunft: Betroffene Personen können Auskunft verlangen, ob wir Personendaten über sie bearbeiten, und falls ja, um welche Personendaten es sich handelt. Betroffene Personen erhalten ferner jene Informationen, die erforderlich sind, um ihre datenschutzrechtlichen Ansprüche geltend zu machen und Transparenz zu gewährleisten. Dazu zählen die bearbeiteten Personendaten als solche, aber unter anderem auch Angaben zum Bearbeitungszweck, zur Dauer der Aufbewahrung, zu einer allfälligen Bekanntgabe bzw. einem allfälligen Export von Daten in andere Staaten und zur Herkunft der Personendaten.
• Berichtigung und Einschränkung: Betroffene Personen können unrichtige Personendaten berichtigen, unvollständige Daten vervollständigen und die Bearbeitung ihrer Daten einschränken lassen.
• Löschung und Widerspruch: Betroffene Personen können Personendaten löschen lassen («Recht auf Vergessen») und der Bearbeitung ihrer Daten mit Wirkung für die Zukunft widersprechen.
• Datenherausgabe und Datenübertragung: Betroffene Personen können die Herausgabe von Personendaten oder die Übertragung ihrer Daten an einen anderen Verantwortlichen verlangen.

Wir können die Ausübung der Rechte von betroffenen Personen im rechtlich zulässigen Rahmen aufschieben, einschränken oder verweigern. Wir können betroffene Personen auf allenfalls zu erfüllende Voraussetzungen für die Ausübung ihrer datenschutzrechtlichen Ansprüche hinweisen. Wir können beispielsweise die Auskunft mit Verweis auf Geschäftsgeheimnisse oder den Schutz anderer Personen ganz oder teilweise verweigern. Wir können beispielsweise auch die Löschung von Personendaten mit Verweis auf gesetzliche Aufbewahrungspflichten ganz oder teilweise verweigern.

Wir können für die Ausübung der Rechte ausnahmsweise Kosten vorsehen. Wir informieren betroffene Personen vorgängig über allfällige Kosten.

Wir sind verpflichtet, betroffene Personen, die Auskunft verlangen oder andere Rechte geltend machen, mit angemessenen Massnahmen zu identifizieren. Betroffene Personen sind zur Mitwirkung verpflichtet.

5.2 Recht auf Beschwerde

Betroffene Personen haben das Recht, ihre datenschutzrechtlichen Ansprüche auf dem Rechtsweg durchzusetzen oder Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde zu erheben.

Datenschutz-Aufsichtsbehörde für private Verantwortliche und Bundesorgane in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).

Betroffene Personen haben – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – das Recht, Beschwerde bei einer zuständigen europäischen Datenschutz-Aufsichtsbehörde zu erheben.

6. Datensicherheit

Wir treffen geeignete technische und organisatorische Massnahmen, um eine dem jeweiligen Risiko angemessene Datensicherheit zu gewährleisten. Wir können aber keine absolute Datensicherheit gewährleisten.

Der Zugriff auf unsere Website erfolgt mittels Transportverschlüsselung (SSL / TLS, insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen Transportverschlüsselung mit einem Vorhängeschloss in der Adressleiste.

Unsere digitale Kommunikation unterliegt – wie grundsätzlich jede digitale Kommunikation – der Massenüberwachung ohne Anlass und Verdacht sowie sonstiger Überwachung durch Sicherheitsbehörden in der Schweiz, im übrigen Europa, in den Vereinigten Staaten von Amerika (USA) und in anderen Staaten. Wir können keinen direkten Einfluss auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden nehmen.

7. Nutzung der Website

7.1 Cookies

Wir können Cookies verwenden. Bei Cookies – eigenen Cookies (First-Party-Cookies) als auch Cookies von Dritten, deren Dienste wir nutzen (Third-Party-Cookies) – handelt es sich um Daten, die im Browser gespeichert werden. Solche gespeicherten Daten müssen nicht auf traditionelle Cookies in Textform beschränkt sein.

Cookies können im Browser temporär als «Session Cookies» oder für einen bestimmten Zeitraum als sogenannte permanente Cookies gespeichert werden. «Session Cookies» werden automatisch gelöscht, wenn der Browser geschlossen wird. Permanente Cookies haben eine bestimmte Speicherdauer. Cookies ermöglichen insbesondere, einen Browser beim nächsten Besuch unserer Website wiederzuerkennen und dadurch beispielsweise die Reichweite unserer Website zu messen. Permanente Cookies können aber beispielsweise auch für Online-Marketing verwendet werden.

Cookies können in den Browser-Einstellungen jederzeit ganz oder teilweise deaktiviert sowie gelöscht werden. Ohne Cookies steht unsere Website allenfalls nicht mehr in vollem Umfang zur Verfügung. Wir ersuchen – mindestens sofern und soweit erforderlich – aktiv um die ausdrückliche Einwilligung in die Verwendung von Cookies.

Bei Cookies, die für die Erfolgs- und Reichweitenmessung oder für Werbung verwendet werden, ist für zahlreiche Dienste ein allgemeiner Widerspruch («Opt-out») über die AdChoices (Digital Advertising Alliance of Canada), die Network Advertising Initiative (NAI), YourAdChoices (Digital Advertising Alliance) oder Your Online Choices (European Interactive Digital Advertising Alliance, EDAA) möglich.

7.2 Server-Logdateien

Wir können für jeden Zugriff auf unsere Website nachfolgende Angaben erfassen, sofern diese von Ihrem Browser an unsere Server-Infrastruktur übermittelt werden oder von unserem Webserver ermittelt werden können: Datum und Zeit einschliesslich Zeitzone, IP-Adresse, Zugriffsstatus (HTTP-Statuscode), Betriebssystem einschliesslich Benutzeroberfläche und Version, Browser einschliesslich Sprache und Version, aufgerufene einzelne Unter-Seite unserer Website einschliesslich übertragener Datenmenge, zuletzt im gleichen Browser-Fenster aufgerufene Webseite (Referer bzw. Referrer).

Wir speichern solche Angaben, die auch Personendaten darstellen können, in Server-Logdateien. Die Angaben sind erforderlich, um unsere Website dauerhaft, nutzerfreundlich und zuverlässig bereitstellen sowie um die Datensicherheit und damit insbesondere den Schutz von Personendaten sicherstellen zu können – auch durch Dritte oder mit Hilfe von Dritten.

7.3 Zählpixel

Wir können Zählpixel auf unserer Website verwenden. Zählpixel werden auch als Web-Beacons bezeichnet. Bei Zählpixeln – auch von Dritten, deren Dienste wir nutzen – handelt es sich um kleine, üblicherweise nicht sichtbare Bilder, die beim Besuch unserer Website automatisch abgerufen werden. Mit Zählpixeln können die gleichen Angaben wie in Server-Logdateien erfasst werden.

8. Benachrichtigungen und Mitteilungen

Wir versenden Benachrichtigungen und Mitteilungen per E-Mail und über andere Kommunikationskanäle wie beispielsweise Instant Messaging oder SMS.

8.1 Erfolgs- und Reichweitenmessung

Benachrichtigungen und Mitteilungen können Weblinks oder Zählpixel enthalten, die erfassen, ob eine einzelne Mitteilung geöffnet wurde und welche Weblinks dabei angeklickt wurden. Solche Weblinks und Zählpixel können die Nutzung von Benachrichtigungen und Mitteilungen auch personenbezogen erfassen. Wir benötigen diese statistische Erfassung der Nutzung für die Erfolgs- und Reichweitenmessung, um Benachrichtigungen und Mitteilungen aufgrund der Bedürfnisse und Lesegewohnheiten der Empfängerinnen und Empfänger effektiv und nutzerfreundlich sowie dauerhaft, sicher und zuverlässig versenden zu können.

8.2 Einwilligung und Widerspruch

Sie müssen grundsätzlich in die Verwendung Ihrer E-Mail-Adresse und Ihrer sonstigen Kontaktadressen ausdrücklich einwilligen, es sei denn, die Verwendung ist aus anderen rechtlichen Gründen zulässig. Für eine allfällige Einwilligung verwenden wir nach Möglichkeit das «Double Opt-in»-Verfahren, das heisst, Sie erhalten eine E-Mail mit einem Weblink, den Sie zur Bestätigung anklicken müssen, damit kein Missbrauch durch unberechtigte Dritte erfolgen kann. Wir können solche Einwilligungen einschliesslich IP-Adresse sowie Datum und Zeit aus Beweis- und Sicherheitsgründen protokollieren.

Sie können grundsätzlich dem Erhalt von Benachrichtigungen und Mitteilungen wie beispielsweise Newslettern jederzeit widersprechen. Mit einem solchen Widerspruch können Sie gleichzeitig der statistischen Erfassung der Nutzung für die Erfolgs- und Reichweitenmessung widersprechen. Vorbehalten bleiben erforderliche Benachrichtigungen und Mitteilungen im Zusammenhang mit unseren Aktivitäten und Tätigkeiten.

8.3 Dienstleister für Benachrichtigungen und Mitteilungen

Wir versenden Benachrichtigungen und Mitteilungen mit Hilfe von spezialisierten Dienstleistern.

9. Social Media

Wir sind auf Social Media-Plattformen und anderen Online-Plattformen präsent, um mit interessierten Personen kommunizieren sowie über unsere Aktivitäten und Tätigkeiten informieren zu können. Im Zusammenhang mit solchen Plattformen können Personendaten auch ausserhalb der Schweiz und des Europäischen Wirtschaftsraumes (EWR) bearbeitet werden.

Es gelten jeweils auch die Allgemeinen Geschäftsbedingungen (AGB) und Nutzungsbedingungen sowie Datenschutzerklärungen und sonstigen Bestimmungen der einzelnen Betreiber solcher Plattformen. Diese Bestimmungen informieren insbesondere über die Rechte von betroffenen Personen direkt gegenüber der jeweiligen Plattform, wozu beispielsweise das Recht auf Auskunft zählt.

Für unsere Social Media-Präsenz bei Facebook unter Einschluss der sogenannten Seiten-Insights sind wir – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – gemeinsam mit der Meta Platforms Ireland Limited (Irland) verantwortlich. Die Meta Platforms Ireland Limited ist Teil der Meta-Unternehmen (unter anderem in den USA). Die Seiten-Insights geben Aufschluss darüber, wie Besucherinnen und Besucher mit unserer Facebook-Präsenz interagieren. Wir verwenden Seiten-Insights, um unsere Social Media-Präsenz bei Facebook effektiv und nutzerfreundlich bereitstellen zu können.

Weitere Angaben über Art, Umfang und Zweck der Datenbearbeitung, Angaben zu den Rechten von betroffenen Personen sowie die Kontaktdaten von Facebook wie auch dem Datenschutzbeauftragten von Facebook finden sich in der Datenschutzerklärung von Facebook. Wir haben mit Facebook den sogenannten «Zusatz für Verantwortliche» abgeschlossen und damit insbesondere vereinbart, dass Facebook dafür verantwortlich ist, die Rechte betroffener Personen zu gewährleisten. Für die sogenannten Seiten-Insights finden sich die entsprechenden Angaben auf der Seite «Informationen zu Seiten-Insights» einschliesslich «Informationen zu Seiten-Insights-Daten».

Nutzerinnen und Nutzer von Social Media-Plattformen haben die Möglichkeit, sich mit ihrem entsprechenden Nutzerkonto bei unserem Online-Angebot einzuloggen bzw. zu registrieren («Social Login»). Es gelten die jeweiligen Bedingungen der betreffenden Social Media-Plattformen.

10. Dienste von Dritten

Wir nutzen Dienste von spezialisierten Dritten, um unsere Aktivitäten und Tätigkeiten dauerhaft, nutzerfreundlich, sicher und zuverlässig ausüben zu können. Mit solchen Diensten können wir unter anderem Funktionen und Inhalte in unsere Website einbetten. Bei einer solchen Einbettung erfassen die genutzten Dienste aus technisch zwingenden Gründen mindestens zeitweilig die IP-Adressen der Nutzerinnen und Nutzer.

Für erforderliche sicherheitsrelevante, statistische und technische Zwecke können Dritte, deren Dienste wir nutzen, Daten im Zusammenhang mit unseren Aktivitäten und Tätigkeiten aggregiert, anonymisiert oder pseudonymisiert bearbeiten. Es handelt sich beispielsweise um Leistungs- oder Nutzungsdaten, um den jeweiligen Dienst anbieten zu können.

Wir nutzen insbesondere:

• Dienste von Google: Anbieterinnen: Google LLC (USA) / Google Ireland Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz; Allgemeine Angaben zum Datenschutz: «Grundsätze zu Datenschutz und Sicherheit», Datenschutzerklärung, «Google ist der Einhaltung der anwendbaren Datenschutzgesetze verpflichtet», «Leitfaden zum Datenschutz in Google-Produkten», «Wie wir Daten von Websites oder Apps verwenden, auf bzw. in denen unsere Dienste genutzt werden» (Angaben von Google), «Von Google verwendete Cookie-Arten und sonstige Technologien», «Personalisierte Werbung» (Aktivierung / Deaktivierung / Einstellungen).
• Dienste von Microsoft: Anbieterinnen: Microsoft Corporation (USA) / Microsoft Ireland Operations Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR), in Grossbritannien und in der Schweiz; Allgemeine Angaben zum Datenschutz: «Datenschutz bei Microsoft», «Datenschutz und Privatsphäre (Trust Center)», Datenschutzerklärung, Datenschutz-Dashboard (Daten- und Datenschutz-Einstellungen).

10.1 Digitale Infrastruktur

Wir nutzen Dienste von spezialisierten Dritten, um benötigte digitale Infrastruktur im Zusammenhang mit unseren Aktivitäten und Tätigkeiten in Anspruch nehmen zu können. Dazu zählen beispielsweise Hosting- und Speicherdienste von ausgewählten Anbietern.

Wir nutzen insbesondere:

• Amazon Web Services (AWS): Speicherplatz und sonstige Infrastruktur; Anbieterinnen: Amazon Web Services Inc. (USA) für Nutzerinnen und Nutzer in der Schweiz / Amazon Web Services EMEA SARL (Luxemburg) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR); Angaben zum Datenschutz: Datenschutzerklärung, «Datenschutz-Zentrum», «Häufig gestellte Fragen zum Datenschutz», «Datenschutz-Grundverordnung (DSGVO)-Zentrum».
• exigo: Hosting; Anbieterin: exigo ag (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung, «Datenschutz / -sicherheit».

10.2 Automatisierung und Integration von Apps und Diensten

Wir nutzen spezialisierte Plattformen, um bestehende Apps und Dienste von Dritten zu integrieren und zu verbinden. Wir können mit solchen «No-Code»-Plattformen ausserdem Abläufe und Tätigkeiten mit Apps und Diensten von Dritten automatisieren.

Wir nutzen insbesondere:

• Zapier: Automatisierung und Integration von Apps und Diensten; Anbieterin: Zapier Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung, «Datenschutz bei Zapier» («Data Privacy at Zapier»), «FAQ zum Datenschutz und zur Datensicherheit» («Data Privacy & Security FAQ»), «Sicherheit und Compliance» («Security and Compliance»).

10.3 Kontaktmöglichkeiten

Wir nutzen Dienste von ausgewählten Anbietern, um mit Dritten wie beispielsweise potenziellen sowie bestehenden Kundinnen und Kunden besser kommunizieren zu können.

10.4 Terminplanung

Wir nutzen Dienste von spezialisierten Dritten, um Termine online vereinbaren zu können, beispielsweise für Besprechungen. Es gelten ergänzend zu dieser Datenschutzerklärung jeweils auch allenfalls direkt ersichtliche Bedingungen der genutzten Dienste wie beispielsweise Nutzungsbedingungen oder Datenschutzerklärungen.

Wir nutzen insbesondere:

• Doodle: Online-Terminplanung; Anbieterin: Doodle AG (Schweiz) als Tochtergesellschaft der TX Group AG (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung, «Allgemeine Bedingungen für die Datenverarbeitung» («General Terms and Conditions of the Processing of Personal Data»).
• Google Kalender: Online-Terminplanung; Anbieterin: Google; Google Kalender-spezifische Angaben: «Terminplanung mit Google Kalender», «Datenschutz in Google Kalender».

10.5 Audio- und Video-Konferenzen

Wir nutzen spezialisierte Dienste für Audio- und Video-Konferenzen, um online kommunizieren zu können. Wir können damit beispielsweise virtuelle Besprechungen abhalten oder Online-Unterricht und Webinare durchführen. Für die Teilnahme an Audio- und Video-Konferenzen gelten ergänzend die Rechtstexte der einzelnen Dienste wie Datenschutzerklärungen und Nutzungsbedingungen.

Wir empfehlen, je nach Lebenssituation bei der Teilnahme an Audio- oder Video-Konferenzen das Mikrofon standardmässig stumm zu schalten sowie den Hintergrund unscharf zu stellen oder einen virtuellen Hintergrund einblenden zu lassen.

Wir nutzen insbesondere:

• Google Meet: Video-Konferenzen; Anbieterin: Google; Google Meet-spezifische Angaben: «Google Meet – Sicherheit und Datenschutz für Nutzer».
• Microsoft Teams: Plattform unter anderem für Audio- und Video-Konferenzen; Anbieterin: Microsoft; Teams-spezifische Angaben: «Datenschutz und Microsoft Teams».
• Zoom: Video-Konferenzen; Anbieterin: Zoom Video Communications Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung, «Datenschutz bei Zoom», «Rechtskonformitäts-Center».

10.6 Online-Zusammenarbeit

Wir nutzen Dienste von Dritten, um die Online-Zusammenarbeit zu ermöglichen. Es gelten ergänzend zu dieser Datenschutzerklärung jeweils auch allenfalls direkt ersichtliche Bedingungen der genutzten Dienste wie beispielsweise Nutzungsbedingungen oder Datenschutzerklärungen.

Wir nutzen insbesondere:

• Miro: Whiteboard-Plattform; Anbieterin: RealtimeBoard Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung, «Vertrauen in Miro» («Miro Trust Center»).
• Notion: Plattform für Team-Zusammenarbeit; Anbieterin: Notion Labs Inc. (USA); Angaben zum Datenschutz: Datenschutzerklärung, «Sicherheit & Datenschutz» («Security & Privacy»), Cookie-Richtlinie.

10.7 Social Media-Funktionen und Social Media-Inhalte

Wir nutzen Dienste und Plugins von Dritten, um Funktionen und Inhalte von Social Media-Plattformen einbetten zu können sowie um das Teilen von Inhalten auf Social Media-Plattformen und auf anderen Wegen zu ermöglichen.

Wir nutzen insbesondere:

• Instagram-Plattform: Einbetten von Instagram-Inhalten; Anbieterinnen: Meta Platforms Ireland Limited (Irland) und weitere Meta-Unternehmen (unter anderem in den USA); Angaben zum Datenschutz: Datenschutzerklärung (Instagram), Datenschutzerklärung (Facebook).

10.8 Kartenmaterial

Wir nutzen Dienste von Dritten, um Karten in unsere Website einbetten zu können.

Wir nutzen insbesondere:

• Google Maps einschliesslich Google Maps Platform: Kartendienst; Anbieterin: Google; Google Maps-spezifische Angaben: «Wie Google Standortinformationen verwendet».
• map.search.ch: Kartendienst; Anbieterin: Swisscom Directories AG (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung, «Nutzungsbedingungen», insbesondere «Nutzungsrechte für eigene Zwecke».
• Outdooractive: Kartendienst; Anbieterin: Outdooractive AG (Deutschland); Angaben zum Datenschutz: Datenschutzerklärung.

10.9 Digitale Audio- und Video-Inhalte

Wir nutzen Dienste von spezialisierten Dritten, um das direkte Abspielen von digitalen Audio- und Video-Inhalten wie beispielsweise Musik oder Podcasts zu ermöglichen.

Wir nutzen insbesondere:

• YouTube: Video-Plattform; Anbieterin: Google; YouTube-spezifische Angaben: «Datenschutz- und Sicherheitscenter», «Meine Daten auf YouTube».

10.10 Schriftarten

Wir nutzen Dienste von Dritten, um ausgewählte Schriftarten sowie Icons, Logos und Symbole in unsere Website einbetten zu können.

Wir nutzen insbesondere:

• Google Fonts: Schriftarten; Anbieterin: Google; Google Fonts-spezifische Angaben: «Datenschutz und Google Fonts» («Privacy and Google Fonts»), «Datenschutz und Datenerfassung».

10.11 E-Commerce

Wir betreiben E-Commerce und nutzen Dienste von Dritten, um Dienstleistungen, Inhalte oder Waren erfolgreich anbieten zu können.

Wir nutzen insbesondere:

• TOMAS: Buchungsplattform; Anbieterin: my.IRS GmbH (Deutschland); Angaben zum Datenschutz: Datenschutzerklärung.

10.12 Zahlungen

Wir nutzen spezialisierte Dienstleister, um Zahlungen unserer Kundinnen und Kunden sicher und zuverlässig abwickeln zu können. Für die Abwicklung von Zahlungen gelten ergänzend die Rechtstexte der einzelnen Dienstleister wie Allgemeine Geschäftsbedingungen (AGB) oder Datenschutzerklärungen.

Wir nutzen insbesondere:

• Datatrans: Abwicklung von Zahlungen; Anbieterin: Datatrans AG (Schweiz); Angaben zum Datenschutz: Datenschutzbestimmungen, «Security & Compliance».
• PostFinance: E-Payment-Lösungen; Anbieterin: PostFinance AG (Schweiz); Angaben zum Datenschutz: «Rechtliche Hinweise und Barrierefreiheit», «Datenschutz» (einschliesslich Datenschutzerklärungen).
• TWINT: Abwicklung von Zahlungen in der Schweiz; Anbieterin: TWINT AG (Schweiz); Angaben zum Datenschutz: Datenschutzerklärung, «Sicherheit nach Schweizer Standards».
• Worldline: Abwicklung von Zahlungen, insbesondere mit mobilen Zahlungslösungen; Anbieterinnen: Worldline Financial Services (Europe) SA (Frankreich) und weitere Worldline-Gesellschaften; Angaben zum Datenschutz: Allgemeine Datenschutzerklärung, Datenschutzerklärung der Worldline Financial Services (Europe) SA, «Sicherheit beim bargeldlosen Zahlen».

10.13 Werbung

Wir nutzen die Möglichkeit, gezielt Werbung für unsere Aktivitäten und Tätigkeiten bei Dritten wie beispielsweise Social Media-Plattformen und Suchmaschinen anzeigen zu lassen.

Wir möchten mit solcher Werbung insbesondere Personen erreichen, die sich für unsere Aktivitäten und Tätigkeiten bereits interessieren oder sich dafür interessieren könnten (Remarketing und Targeting). Dafür können wir entsprechende – allenfalls auch personenbezogene – Angaben an Dritte, die solche Werbung ermöglichen, übermitteln. Wir können ausserdem feststellen, ob unsere Werbung erfolgreich ist, das heisst insbesondere, ob sie zu Besuchen auf unserer Website führt (Conversion Tracking).

Dritte, bei denen wir werben und wo Sie als Nutzerin oder Nutzer angemeldet sind, können die Nutzung unserer Website allenfalls Ihrem dortigen Profil zuordnen.

Wir nutzen insbesondere:

• Facebook-Werbung (Facebook Ads): Social Media-Werbung; Anbieterinnen: Meta Platforms Ireland Limited (Irland) und weitere Meta-Unternehmen (unter anderem in den USA); Angaben zum Datenschutz: Remarketing und Targeting insbesondere mit dem Facebook-Pixel sowie Custom Audiences einschliesslich Lookalike Audiences, Datenschutzerklärung, «Werbepräferenzen» (Anmeldung als Nutzerin oder Nutzer erforderlich).
• Google Ads: Suchmaschinen-Werbung; Anbieterin: Google; Google Ads-spezifische Angaben: Werbung unter anderem aufgrund von Suchanfragen, wobei verschiedene Domainnamen – insbesondere doubleclick.net, googleadservices.com und googlesyndication.com – für Google Ads verwendet werden, «Werbung» (Google), «Warum sehe ich eine bestimmte Werbung?».
• Instagram Ads: Social Media-Werbung; Anbieterinnen: Meta Platforms Ireland Limited (Irland) und weitere Meta-Unternehmen (unter anderem in den USA); Angaben zum Datenschutz: Remarketing und Targeting insbesondere mit Facebook-Pixel sowie Custom Audiences einschliesslich Lookalike Audiences, Datenschutzerklärung (Instagram), Datenschutzerklärung (Facebook), «Werbepräferenzen» (Instagram) (Anmeldung als Nutzerin oder Nutzer erforderlich), «Werbepräferenzen» (Facebook) (Anmeldung als Nutzerin oder Nutzer erforderlich).
• Microsoft Advertising: Suchmaschinen-Werbung bei Bing, DuckDuckGo und Yahoo!; Anbieterin: Microsoft; Microsoft Advertising-spezifische Angaben: «Microsoft Advertising-Datenschutzrichtlinien», «Microsoft Advertising-Richtlinien: Rechtliches, Datenschutz und Sicherheit», «Einstellungen für Werbung» (Widerspruch gegen personalisierte Werbung).

11. Erfolgs- und Reichweitenmessung

Wir versuchen zu ermitteln, wie unser Online-Angebot genutzt wird. In diesem Rahmen können wir beispielsweise den Erfolg und die Reichweite unserer Aktivitäten und Tätigkeiten sowie die Wirkung von Verlinkungen Dritter auf unsere Website messen. Wir können aber beispielsweise auch ausprobieren und vergleichen, wie unterschiedliche Teile oder Versionen unseres Online-Angebotes genutzt werden («A/B-Test»-Methode). Aufgrund der Ergebnisse der Erfolgs- und Reichweitenmessung können wir insbesondere Fehler beheben, beliebte Inhalte stärken oder Verbesserungen an unserem Online-Angebot vornehmen.

Für die Erfolgs- und Reichweitenmessung werden in den meisten Fällen die IP-Adressen von einzelnen Nutzerinnen und Nutzern gespeichert. IP-Adressen werden in diesem Fall grundsätzlich gekürzt («IP-Masking»), um durch die entsprechende Pseudonymisierung dem Grundsatz der Datensparsamkeit zu folgen.

Bei der Erfolgs- und Reichweitenmessung können Cookies zum Einsatz kommen und Nutzerprofile erstellt werden. Allenfalls erstellte Nutzerprofile umfassen beispielsweise die besuchten einzelnen Seiten oder betrachteten Inhalte auf unserer Website, Angaben zur Grösse von Bildschirm oder Browser-Fenster und den – zumindest ungefähren – Standort. Grundsätzlich werden allfällige Nutzerprofile ausschliesslich pseudonymisiert erstellt und nicht für die Identifizierung einzelner Nutzerinnen und Nutzer verwendet. Einzelne Dienste von Dritten, bei denen Nutzerinnen oder Nutzer angemeldet sind, können die Nutzung unseres Online-Angebotes allenfalls dem Nutzerkonto oder Nutzerprofil beim jeweiligen Dienst zuordnen.

Wir nutzen insbesondere:

• fusedeck: Erfolgs- und Reichweitenmessung; Anbieterin: Capture Media AG (Schweiz); Angaben zum Datenschutz: «Daten & Datenschutz», Datenschutzerklärung.
• Google Tag Manager: Einbindung und Verwaltung von sonstigen Diensten für die Erfolgs- und Reichweitenmessung sowie weiteren Diensten von Google als auch von Dritten; Anbieterin: Google; Google Tag Manager-spezifische Angaben: «Mit Google Tag Manager erfasste Daten»; weitere Angaben zum Datenschutz finden sich bei den einzelnen eingebundenen und verwalteten Diensten.

12. Schlussbestimmungen

Wir haben diese Datenschutzerklärung mit dem Datenschutz-Generator von Datenschutzpartner erstellt.

Wir können diese Datenschutzerklärung jederzeit anpassen und ergänzen. Wir werden über solche Anpassungen und Ergänzungen in geeigneter Form informieren, insbesondere durch Veröffentlichung der jeweils aktuellen Datenschutzerklärung auf unserer Website.

Privacy Policy

With this Privacy Policy, we inform you about the personal data we process in connection with our activities and operations, including our surselva.info website. We provide specific information on what personal data we process, how, and where. We also inform about the rights of individuals whose data we process.

Additional privacy policies and other legal documents such as General Terms and Conditions (AGB), Terms of Use, or Participation Conditions may apply to certain or additional activities and operations.

We are subject to Swiss data protection law and, where applicable, foreign data protection law, in particular that of the European Union (EU) with the General Data Protection Regulation (GDPR). The European Commission recognizes that Swiss data protection law ensures adequate data protection.

1. Contact Addresses

Responsibility for the processing of personal data:

Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz

marketing@surselva.info

We indicate if there are other responsible parties for the processing of personal data in individual cases.

1.1 Data Protection Officer or Data Protection Advisor

We have appointed the following Data Protection Officer or Data Protection Advisor as a point of contact for affected individuals and authorities for inquiries related to data protection:

Kevin Brunold
Surselva Tourismus AG
Glennerstrasse 22a
7130 Ilanz

marketing@surselva.info

1.2 Data Protection Representation in the European Economic Area (EEA)

We have the following data protection representation according to Art. 27 GDPR:

VGS Datenschutz­partner GmbH
Am Kaiserkai 69
20457 Hamburg
Germany

marketing@surselva.info

The data protection representation serves as an additional point of contact for individuals and authorities in the European Union (EU) and the rest of the European Economic Area (EEA) regarding inquiries associated with the GDPR.

2. Terms and Legal Foundations

2.1 Terms

Personal data includes all information relating to an identified or identifiable natural person. An affected person is a person whose personal data we process.

Processing encompasses any handling of personal data, irrespective of the means and methods used, such as querying, matching, adjusting, archiving, storing, reading, disclosing, obtaining, collecting, compiling, deleting, revealing, sorting, organizing, storing, modifying, distributing, linking, destroying, and using personal data.

The European Economic Area (EEA) includes the Member States of the European Union (EU) as well as the Principality of Liechtenstein, Iceland, and Norway. The General Data Protection Regulation (GDPR) refers to the processing of personal data as the processing of personal data.

2.2 Legal Bases

We process personal data in accordance with Swiss data protection law, in particular the Federal Act on Data Protection (Data Protection Act, DPA) and the Ordinance on Data Protection (Data Protection Ordinance, DPO).

If and to the extent that the General Data Protection Regulation (GDPR) is applicable, we process personal data according to at least one of the following legal bases:

• Art. 6 para. 1 lit. b GDPR for the necessary processing of personal data to fulfill a contract with the affected person or to carry out pre-contractual measures.
• Art. 6 para. 1 lit. f GDPR for the necessary processing of personal data to protect the legitimate interests of us or third parties, provided that the fundamental freedoms and rights and interests of the affected person do not prevail. Legitimate interests include our interest in conducting our activities and operations permanently, user-friendly, secure, and reliable, as well as being able to communicate about them, ensuring information security, protection against misuse, enforcement of our own legal claims, and compliance with Swiss law.
• Art. 6 para. 1 lit. c GDPR for the necessary processing of personal data to fulfill a legal obligation to which we are subject according to any applicable law of member states in the European Economic Area (EEA).
• Art. 6 para. 1 lit. e GDPR for the necessary processing of personal data for the performance of a task carried out in the public interest.
• Art. 6 para. 1 lit. a GDPR for the processing of personal data with the consent of the affected person.
• Art. 6 para. 1 lit. d GDPR for the necessary processing of personal data to protect the vital interests of the affected person or another natural person.

3. Nature, Scope and Purpose

We process those personal data that are necessary in order to carry out our activities and functions in a permanent, user-friendly, secure, and reliable manner. Such personal data may particularly fall into categories such as inventory and contact information, browser and device data, content data, meta or marginal data, usage data, location data, sales data, as well as contract and payment data.

We process personal data for the duration that is necessary for the respective purpose or purposes or as required by law. Personal data that no longer needs to be processed are anonymized or deleted.

We may have personal data processed by third parties. We may process personal data together with third parties or transmit them to third parties. Such third parties are in particular specialized service providers whose services we use. We also ensure data protection with such third parties.

We process personal data in principle only with the consent of the concerned individuals. If and insofar as the processing is permissible for other legal reasons, we may refrain from obtaining consent. For example, we may process data without consent to fulfill a contract, comply with legal obligations, or protect overriding interests.

Within this framework, we particularly process information that a concerned person voluntarily transmits to us when making contact – for example, by mail, email, instant messaging, contact form, social media, or telephone – or when registering for a user account. We may store such information in an address book, in a customer relationship management system (CRM system), or with similar tools. If we receive data about other persons, the transmitting individuals are required to ensure data protection towards these individuals and to ensure the accuracy of this personal data.

We also process personal data that we receive from third parties, obtain from publicly accessible sources, or collect in the exercise of our activities and functions, provided and insofar as such processing is legally permissible.

4. Personal Data Abroad

We generally process personal data in Switzerland and in the European Economic Area (EEA). However, we may also export or transmit personal data to other countries, in particular to process or have them processed there.

We may export personal data to all states and territories on Earth, and elsewhere in the universe, provided that the local law ensures adequate data protection according to the decision of the Swiss Federal Council and – if and insofar as the General Data Protection Regulation (GDPR) is applicable – according to the decision of the European Commission.

We may transmit personal data to countries whose law does not ensure adequate data protection, provided that data protection is guaranteed for other reasons, in particular based on standard data protection clauses or with other suitable guarantees. Exceptionally, we may export personal data to countries without adequate or appropriate data protection if the special legal requirements for data protection are met, such as the express consent of the concerned persons or a direct connection with the conclusion or processing of a contract. Upon request, we gladly provide concerned persons with information about any guarantees or supply a copy of any guarantees.

5. Rights of Concerned Persons

5.1 Data Protection Rights

We grant concerned individuals all claims according to the applicable data protection law. Specifically, concerned individuals have the following rights:

• Access: Concerned individuals can request information on whether we process personal data about them, and if so, what personal data. They also receive further information necessary to assert their data protection claims and to ensure transparency. This includes the processed personal data itself, as well as information about the purpose of processing, the duration of storage, any disclosure or export of data to other countries, and the origin of the personal data.
• Correction and Restriction: Concerned individuals can correct inaccurate personal data, complete incomplete data, and restrict the processing of their data.
• Deletion and Objection: Concerned individuals can have their personal data deleted ("right to be forgotten") and object to the processing of their data with effect for the future.
• Data Release and Data Transfer: Concerned individuals can request the release of personal data or the transfer of their data to another controller.

We may defer, restrict, or deny the exercise of rights by concerned individuals within the legally permissible framework. We can inform concerned individuals about any conditions that must be met to exercise their data protection rights. For example, we may refuse to provide information based on trade secrets or the protection of other persons either in whole or in part. Similarly, we may also refuse to delete personal data in whole or in part based on statutory retention obligations.

We may exceptionally envisage costs for exercising rights. We inform concerned individuals in advance about any possible costs.

We are obliged to identify concerned individuals who request information or assert other rights with appropriate measures. Concerned individuals are required to cooperate.

5.2 Right to Complain

Individuals affected have the right to enforce their data protection claims through legal proceedings or to lodge a complaint with a competent data protection supervisory authority.

The data protection supervisory authority for private controllers and federal bodies in Switzerland is the Federal Data Protection and Information Commissioner (FDPIC).

Affected individuals have — as far as the General Data Protection Regulation (GDPR) is applicable — the right to lodge a complaint with a competent European data protection supervisory authority.

6. Data Security

We implement suitable technical and organizational measures to ensure data security appropriate to the respective risk. However, we cannot guarantee absolute data security.

Access to our website is secured through transport encryption (SSL/TLS, especially with the Hypertext Transfer Protocol Secure, abbreviated as HTTPS). Most browsers indicate transport encryption with a padlock in the address bar.

Our digital communication is — as is basically all digital communication — subject to mass surveillance without specific cause and suspicion, as well as other surveillance by security authorities in Switzerland, the rest of Europe, the United States of America (USA), and other states. We have no direct influence on the corresponding processing of personal data by intelligence agencies, police stations, and other security authorities.

7. Use of the Website

7.1 Cookies

We may use cookies. Cookies—both our own (first-party cookies) and those of third parties whose services we use (third-party cookies)—are data stored in the browser. Such stored data do not have to be limited to traditional text-form cookies.

Cookies can be stored in the browser temporarily as "session cookies" or for a certain period as so-called permanent cookies. "Session cookies" are automatically deleted when the browser is closed. Permanent cookies have a specific storage duration. Cookies, in particular, enable a browser to be recognized on a next visit to our website and thereby, for example, measure the reach of our website. However, permanent cookies can also be used for online marketing, for example.

Cookies can be completely or partially disabled in the browser settings at any time and can also be deleted. Without cookies, our website may not be fully available. We request— at least to the extent necessary—active explicit consent to the use of cookies.

For cookies that are used for performance and reach measurement or for advertising, a general objection ("opt-out") is possible for many services via AdChoices (Digital Advertising Alliance of Canada), the Network Advertising Initiative (NAI), YourAdChoices (Digital Advertising Alliance), or Your Online Choices (European Interactive Digital Advertising Alliance, EDAA).

7.2 Server Log Files

For each access to our website, we may collect the following information, provided it is transmitted by your browser to our server infrastructure or can be determined by our web server: Date and time including timezone, IP address, access status (HTTP status code), operating system including interface and version, browser including language and version, individual sub-page of our website called up including the amount of data transferred, the last webpage called up in the same browser window (referrer).

We store such information, which can also represent personal data, in server log files. The information is necessary to be able to provide our website permanently, user-friendly, and reliably and to ensure data security, and thus in particular the protection of personal data – also by or with the help of third parties.

7.3 Tracking Pixels

We may use tracking pixels on our website. Tracking pixels are also known as web beacons. Tracking pixels—including those from third parties whose services we utilize—are small, typically invisible images that are automatically retrieved when visiting our website. Tracking pixels can collect the same information as recorded in server log files.

8. Notifications and Communications

We send notifications and communications via email and other communication channels such as instant messaging or SMS.

8.1 Success and Reach Measurement

Notifications and communications may contain web links or tracking pixels that track whether an individual message was opened and which web links were clicked. Such web links and tracking pixels may also capture the use of notifications and communications on a personal basis. We require this statistical capture of use for success and reach measurement in order to send notifications and communications effectively and user-friendly based on the needs and reading habits of the recipients, and to ensure they can be sent permanently, securely, and reliably.

8.2 Consent and Objection

You must generally give explicit consent to the use of your email address and other contact addresses, unless the use is permitted for other legal reasons. Wherever possible, we use the "double opt-in" procedure for obtaining consent, which means you will receive an email with a web link that you must click to confirm, to prevent abuse by unauthorized third parties. We may log such consents, including IP address, date and time, for proof and security reasons.

You can generally object to the receipt of notifications and communications, such as newsletters, at any time. With such an objection, you can simultaneously object to the statistical capture of usage for success and reach measurement. Reserved are necessary notifications and communications related to our activities and services.

8.3 Service Providers for Notifications and Communications

We send notifications and communications with the help of specialized service providers.

9. Social Media

We are present on social media platforms and other online platforms to communicate with interested parties and to inform about our activities and services. In connection with such platforms, personal data may also be processed outside of Switzerland and the European Economic Area (EEA).

The General Terms and Conditions (GTC) and Terms of Use, as well as privacy policies and other provisions of the individual operators of these platforms, also apply. These provisions particularly inform about the rights of data subjects directly against the respective platform, which includes, for example, the right to information.

For our Social Media presence on Facebook, including so-called Page Insights, we are – insofar as the General Data Protection Regulation (GDPR) is applicable – jointly responsible with Meta Platforms Ireland Limited (Ireland). Meta Platforms Ireland Limited is part of the Meta companies (including in the USA). Page Insights provide information on how visitors interact with our Facebook presence. We use Page Insights to provide our social media presence on Facebook effectively and user-friendly.

Further information on the nature, scope, and purpose of data processing, information on the rights of data subjects, and the contact details of Facebook as well as Facebook's Data Protection Officer can be found in the Facebook Privacy Policy. We have concluded the so-called "Controller Addendum" with Facebook and have particularly agreed that Facebook is responsible for ensuring the rights of data subjects. For the so-called Page Insights, the relevant information can be found on the page "Information about Page Insights" including "Information about Page Insights Data".

Users of social media platforms have the opportunity to log in or register with our online service using their respective user accounts (“Social Login”). The respective conditions of the relevant social media platforms apply.

10. Services from Third Parties

We use services from specialized third parties to carry out our activities and services in a permanent, user-friendly, secure, and reliable manner. Such services allow us, among other things, to embed functions and content into our website. For such embedding, the services used technically require at least temporarily the capture of IP addresses of users.

For necessary security-related, statistical, and technical purposes, third parties whose services we use may process data in connection with our activities and services in an aggregated, anonymized, or pseudonymized manner. These are, for example, performance or usage data to be able to provide the respective service.

In particular, we use:

• Services from Google: Providers: Google LLC (USA) / Google Ireland Limited (Ireland) for users in the European Economic Area (EEA) and Switzerland; General information on data protection: "Principles of privacy and security", Privacy Policy, "Google's commitment to complying with applicable privacy laws", "Guide to privacy in Google products", "How we use data from websites or apps that use our services" (Information from Google), "Types of cookies used by Google and other technologies", "Personalized advertising" (Activation / Deactivation / Settings).
• Services from Microsoft: Providers: Microsoft Corporation (USA) / Microsoft Ireland Operations Limited (Ireland) for users in the European Economic Area (EEA), United Kingdom, and Switzerland; General information on data protection: "Privacy at Microsoft", "Privacy and Trust Center", Privacy Policy, Privacy Dashboard (Data and privacy settings).

10.1 Digital Infrastructure

We utilize services from specialized third parties to be able to avail of the necessary digital infrastructure in connection with our activities and operations. This includes, for example, hosting and storage services from selected providers.

We use in particular:

• Amazon Web Services (AWS): Storage space and other infrastructure; Providers: Amazon Web Services Inc. (USA) for users in Switzerland / Amazon Web Services EMEA SARL (Luxembourg) for users in the European Economic Area (EEA); Privacy information: Privacy Policy, "Data Privacy Center", "Data Privacy FAQ", "General Data Protection Regulation (GDPR) Center".
• exigo: Hosting; Provider: exigo ag (Switzerland); Privacy information: Privacy Policy, "Data Protection / Security".

10.2 Automation and Integration of Apps and Services

We use specialized platforms to integrate and connect existing apps and services from third parties. We can also automate processes and activities with third-party apps and services using such "No-Code" platforms.

We use in particular:

• Zapier: Automation and integration of apps and services; Provider: Zapier Inc. (USA); Privacy information: Privacy Policy, "Data Privacy at Zapier", "Data Privacy & Security FAQ", "Security and Compliance".

10.3 Contact Options

We use services from selected providers to be able to communicate better with third parties such as potential and existing customers.

10.4 Scheduling

We use services from specialized third parties to be able to schedule appointments online, for instance, for meetings. In addition to this privacy policy, the conditions of the used services that are directly apparent, such as terms of use or privacy policies, also apply.

We use in particular:

• Doodle: Online appointment scheduling; Provider: Doodle AG (Switzerland) as a subsidiary of TX Group AG (Switzerland); Privacy information: Privacy Policy, "General Terms and Conditions for the Processing of Personal Data".
• Google Calendar: Online appointment scheduling; Provider: Google; Google Calendar-specific information: "Scheduling Appointments with Google Calendar", "Privacy in Google Calendar".

10.5 Audio and Video Conferences

We use specialized services for audio and video conferencing to communicate online. These allow us to conduct virtual meetings, online classes, and webinars. Additional legal texts of each service, such as privacy policies and terms of use, apply to the participation in audio and video conferences.

We recommend, depending on the life situation, muting the microphone by default when participating in audio or video conferences and blurring the background or displaying a virtual background.

We use in particular:

• Google Meet: Video conferencing; Provider: Google; Specific information about Google Meet: "Google Meet - Security and Privacy for Users".
• Microsoft Teams: Platform for audio and video conferencing, among other things; Provider: Microsoft; Teams-specific information: "Privacy and Microsoft Teams".
• Zoom: Video conferencing; Provider: Zoom Video Communications Inc. (USA); Privacy information: Privacy Policy, "Privacy at Zoom", "Legal Compliance Center".

10.6 Online Collaboration

We use third-party services to enable online collaboration. In addition to this privacy policy, the conditions of the used services that are directly visible, such as terms of use or privacy policies, also apply.

We use in particular:

• Miro: Whiteboard platform; Provider: RealtimeBoard Inc. (USA); Privacy information: Privacy Policy, "Trust in Miro" ("Miro Trust Center").
• Notion: Team collaboration platform; Provider: Notion Labs Inc. (USA); Privacy information: Privacy Policy, "Security & Privacy", Cookie Policy.

10.7 Social Media Functions and Social Media Content

We use services and plugins from third parties to embed functions and content from social media platforms as well as to enable the sharing of content on social media platforms and in other ways.

We use in particular:

• Instagram Platform: Embedding of Instagram content; Providers: Meta Platforms Ireland Limited (Ireland) and other Meta companies (including in the USA); Privacy information: Privacy Policy (Instagram), Privacy Policy (Facebook).

10.8 Map Material

We use third-party services to embed maps into our website.

We use in particular:

• Google Maps including Google Maps Platform: Map service; Provider: Google; Google Maps-specific information: "How Google uses location information".
• map.search.ch: Map service; Provider: Swisscom Directories AG (Switzerland); Privacy information: Privacy Policy, "Terms of Use", in particular "Rights of use for own purposes".
• Outdooractive: Map service; Provider: Outdooractive AG (Germany); Privacy information: Privacy Policy.

10.9 Digital Audio and Video Content

We use services from specialized third parties to enable the direct playback of digital audio and video content such as music or podcasts.

We use in particular:

• YouTube: Video platform; Provider: Google; YouTube-specific information: "Privacy and Security Center", "Your Data on YouTube".

10.10 Fonts

We use services from third parties to embed selected fonts as well as icons, logos, and symbols into our website.

We use in particular:

• Google Fonts: Fonts; Provider: Google; Google Fonts-specific information: "Privacy and Google Fonts", "Privacy and Data Collection".

10.11 E-Commerce

We operate e-commerce and use services from third parties to be able to offer services, content, or goods successfully.

We use in particular:

• TOMAS: Booking platform; Provider: my.IRS GmbH (Germany); Privacy details: Privacy Policy.

10.12 Payments

We use specialized service providers to process payments from our customers securely and reliably. The legal texts of the individual service providers, such as General Terms and Conditions (GTC) or privacy statements, additionally apply to the processing of payments.

We use in particular:

• Datatrans: Payment processing; Provider: Datatrans AG (Switzerland); Privacy details: Privacy Policy, "Security & Compliance".
• PostFinance: E-Payment solutions; Provider: PostFinance AG (Switzerland); Privacy details: "Legal Notices and Accessibility", "Data Protection" (including privacy statements).
• TWINT: Payment processing in Switzerland; Provider: TWINT AG (Switzerland); Privacy details: Privacy Policy, "Security according to Swiss standards".
• Worldline: Payment processing, especially with mobile payment solutions; Providers: Worldline Financial Services (Europe) SA (France) and other Worldline companies; Privacy details: General Privacy Policy, Privacy Policy of Worldline Financial Services (Europe) SA, "Security in cashless payments".

10.13 Advertising

We utilize the possibility to display targeted advertising for our activities and services on third-party platforms such as social media platforms and search engines.

We particularly aim to reach individuals with such advertising who are already interested in our activities and services or might be interested (Remarketing and Targeting). For this purpose, we may transfer corresponding – possibly also personal – data to third parties that enable such advertising. We can also determine whether our advertising is successful, namely, whether it leads to visits on our website (Conversion Tracking).

Third parties where we advertise and where you as a user are registered may possibly assign the use of our website to your profile there.

We use in particular:

• Facebook Advertising (Facebook Ads): Social media advertising; Providers: Meta Platforms Ireland Limited (Ireland) and other Meta companies (including in the USA); Privacy information: Remarketing and targeting particularly with the Facebook Pixel as well as Custom Audiences including Lookalike Audiences, Privacy Policy, "Ad Preferences" (user registration required).
• Google Ads: Search engine advertising; Provider: Google; Google Ads-specific details: Advertising based on search queries, among other things, using various domain names – in particular doubleclick.net, googleadservices.com, and googlesyndication.com – for Google Ads, "Advertising" (Google), "Why am I seeing this ad?".
• Instagram Ads: Social media advertising; Providers: Meta Platforms Ireland Limited (Ireland) and other Meta companies (including in the USA); Privacy information: Remarketing and targeting particularly with Facebook Pixel as well as Custom Audiences including Lookalike Audiences, Privacy Policy (Instagram), Privacy Policy (Facebook), "Ad Preferences" (Instagram) (user registration required), "Ad Preferences" (Facebook) (user registration required).
• Microsoft Advertising: Search engine advertising on Bing, DuckDuckGo, and Yahoo!; Provider: Microsoft; Microsoft Advertising-specific details: "Microsoft Advertising Privacy Policy", "Microsoft Advertising Policies: Legal, Privacy and Security", "Ad Settings" (opt-out of personalized advertising).

11. Performance and Reach Measurement

We attempt to determine how our online offerings are used. In this context, we may measure the success and reach of our activities and services as well as the impact of third-party links on our website. For example, we may also try out and compare how different parts or versions of our online offering are used (using the "A/B testing" method). Based on the results of the performance and reach measurement, we can, in particular, fix errors, strengthen popular content, or make improvements to our online offering.

For performance and reach measurement, the IP addresses of individual users are most often stored. In this case, IP addresses are generally truncated ("IP masking") to follow the principle of data minimization through the corresponding pseudonymization.

Cookies may be used in performance and reach measurement, and user profiles created. Any user profiles created may include, for example, the individual pages visited or content viewed on our website, information about the size of the screen or browser window, and the - at least approximate - location. Generally, any user profiles are created exclusively in a pseudonymized form and not used for identifying individual users. Certain third-party services, where users are registered, may potentially assign the use of our online offering to the user account or user profile at the respective service.

We use in particular:

• fusedeck: Performance and reach measurement; Provider: Capture Media AG (Switzerland); Privacy information: "Data & Privacy", Privacy Policy.
• Google Tag Manager: Integration and management of other services for performance and reach measurement as well as further services from Google and third parties; Provider: Google; Google Tag Manager-specific information: "Data collected by Google Tag Manager"; further privacy information can be found with the individual integrated and managed services.

12. Final Provisions

We have created this privacy policy using the Privacy Policy Generator from Datenschutzpartner.

We may adjust and supplement this privacy policy at any time. We will inform about such adjustments and supplements in a suitable manner, in particular by publishing the respective current privacy policy on our website.