Datenschutzrichtlinie

1. Gemeinsam Verantwortliche

AlmaTosca ist ein Gemeinschaftsprojekt zweier gemeinsam Verantwortlicher im Sinne von Art. 26 DSGVO und Art. 5 Abs. 7 nDSG:

Für jede Anfrage zur Verarbeitung personenbezogener Daten — einschliesslich der Ausübung der nach nDSG und DSGVO vorgesehenen Rechte — wenden Sie sich bitte an die zentrale Anlaufstelle: privacy@almatosca.ch.

Es wurde kein Datenschutzbeauftragter (DSB) benannt, da die Voraussetzungen gemäss Art. 37 DSGVO und Art. 10 nDSG nicht erfüllt sind.

2. Geltungsbereich

Diese Datenschutzerklärung gilt ausschliesslich für die Vitrinenwebseite almatosca.ch (nachfolgend «Webseite»), die Informations- und Präsentationszwecken der AlmaTosca-Dienste dient.

3. Rechtsgrundlage und territorialer Anwendungsbereich

Die Verarbeitung personenbezogener Daten erfolgt in Übereinstimmung mit:

• Dem neuen Bundesgesetz über den Datenschutz (nDSG) der Schweiz, in Kraft seit dem 1. September 2023;
• Der Datenschutz-Grundverordnung (DSGVO) der EU/EWR, anwendbar auf Besucher der Webseite aus der Europäischen Union und dem Europäischen Wirtschaftsraum.

AlmaTosca bietet ihre Dienstleistungen kommerziell ausschliesslich an in der Schweiz ansässige Geschäftskunden an. Aus diesem Grund wurde kein EU-Vertreter im Sinne von Art. 27 DSGVO benannt. Die DSGVO-Rechte werden EU/EWR-Besuchern der Webseite gleichwohl gemäss Art. 3 Abs. 2 lit. b DSGVO garantiert (Analyse-Cookies, Ausübung der Rechte, Beschwerde bei der Aufsichtsbehörde).

4. Gemeinsame Verantwortlichkeit

SwissCodex GmbH und New Target SA agieren als gemeinsam Verantwortliche im Sinne von Art. 26 DSGVO und Art. 5 Abs. 7 nDSG. Die Aufteilung der Rollen und Verantwortlichkeiten ist wie folgt:

• SwissCodex GmbH — Konzeption, Entwicklung, Hosting, Wartung und technische Sicherheit der Webseite; Verwaltung der Integrationen mit Drittanbietern (Analytics, Cookie-Consent, E-Mail); Festlegung der technischen und organisatorischen Sicherheitsmassnahmen;
• New Target SA — Entgegennahme und Bearbeitung der über das Kontaktformular der Webseite eingehenden Informationsanfragen.

Die gemeinsam Verantwortlichen haben eine interne Vereinbarung getroffen, die ihre jeweiligen Pflichten und Verantwortlichkeiten in Bezug auf den Datenschutz regelt. Dieses Dokument stellt zusammen mit der zentralen Anlaufstelle privacy@almatosca.ch den betroffenen Personen das Wesentliche der Vereinbarung zur Verfügung. Die betroffene Person kann ihre Rechte gegenüber jedem der gemeinsam Verantwortlichen unabhängig geltend machen.

5. Cookies und Tracking-Technologien

Die Webseite verwendet Cookies und ähnliche Technologien, um den Betrieb sicherzustellen, den Datenverkehr zu analysieren und das Nutzererlebnis zu verbessern. Alle nicht zwingend erforderlichen Cookies werden nur nach ausdrücklicher Einwilligung installiert, die über das beim ersten Besuch angezeigte Banner eingeholt wird.

5.1 Verwendete Drittanbieter-Dienste

• Google Fonts (Google LLC) — Laden der Schriftarten. Datenübermittlung: USA, abgesichert durch Standardvertragsklauseln.
• Google Analytics 4 (Google LLC) — anonyme statistische Analyse des Datenverkehrs. Konfiguriert mit IP-Anonymisierung und Google Consent Mode v2: Daten werden nur nach Einwilligung und in aggregierter Form erhoben. Datenübermittlung: USA, abgesichert durch Standardvertragsklauseln.

5.2 Verwaltung der Einwilligung

Der Nutzer kann die Cookie-Einwilligung über das beim ersten Besuch angezeigte Banner annehmen, ablehnen oder anpassen oder das Präferenzenpanel jederzeit erneut öffnen (Symbol unten rechts). Die Einwilligung wird gespeichert und kann jederzeit widerrufen werden.

5.3 Vollständige Cookie-Richtlinie

Eine detaillierte Liste der Cookies, Zwecke, Speicherdauer und Anbieter finden Sie in unserer vollständigen Cookie-Richtlinie.

5.4 Weitere Technologien

Die Webseite verwendet ausserdem den sessionStorage des Browsers zur Verwaltung des Zugangs während der aktuellen Sitzung. SessionStorage ist kein Cookie, wird nicht an den Server übermittelt und wird beim Schliessen des Browser-Tabs automatisch gelöscht.

6. Über die Webseite erhobene Daten

6.1 Kontaktformular

Die Webseite stellt ein Kontaktformular zur Verfügung, mit dem Besucher Informations- oder Geschäftsanfragen senden können. Die eingegebenen Daten (Name, E-Mail, Betreff, Nachricht) werden per E-Mail an info@almatosca.ch über den SMTP-Server von Infomaniak Network SA (Hoster der Domain almatosca.ch) übermittelt und in keiner Datenbank gespeichert.

Rechtsgrundlage der Verarbeitung ist das berechtigte Interesse der gemeinsam Verantwortlichen, Anfragen potenzieller Kunden zu beantworten, sowie — sofern die Anfrage eine mögliche Geschäftsbeziehung betrifft — die Durchführung vorvertraglicher Massnahmen auf Anfrage der betroffenen Person (Art. 6 Abs. 1 lit. b DSGVO).

6.2 Navigationsdaten

Der Webserver (verwaltet von OVH SAS) protokolliert automatisch technische Standarddaten (IP-Adresse, Zugriffszeit, besuchte Seiten, Browsertyp, HTTP-Antwortcode). Diese Daten werden ausschliesslich zur Sicherstellung des technischen Betriebs, der Sicherheit und der Diagnose der Webseite verwendet und nicht mit anderen personenbezogenen Daten verknüpft.

7. Auftragsverarbeiter und Dienstleister

Für den technischen Betrieb der Webseite ziehen die gemeinsam Verantwortlichen folgende Dienstleister hinzu, die als Auftragsverarbeiter oder Sub-Auftragsverarbeiter im Sinne von Art. 28 DSGVO qualifiziert sind:

• OVH SAS (Frankreich) — Hosting des Webservers und Speicherung der nginx-Logs;
• Infomaniak Network SA (Schweiz) — Verwaltung der Domain almatosca.ch und SMTP-Relay für das Kontaktformular;
• iubenda S.r.l. (EU) — Cookie-Banner, Speicherung des Einwilligungsregisters und Hosting der Cookie-Richtlinie;
• Google LLC / Google Ireland Ltd. (EU / USA) — Google Fonts (Schriftartendarstellung) und Google Analytics 4 (aggregierte Statistiken), abgesichert durch Standardvertragsklauseln und Beitritt zum Data Privacy Framework.
• Cloudflare, Inc. (USA) — Turnstile-Dienst zur Bot-Schutz-Verifikation der Kontakt- und Verkostungsformulare der Webseite. Beim Absenden des Formulars werden ein Verifikationstoken und die IP-Adresse des Besuchers an Cloudflare übermittelt. Cloudflare ist dem EU-US Data Privacy Framework beigetreten und wendet Standardvertragsklauseln für Übermittlungen in die USA an.

Jeder Dienstleister ist vertraglich zur Einhaltung der geltenden Datenschutzvorschriften verpflichtet. Die Liste kann sich weiterentwickeln; etwaige Aktualisierungen werden in diesem Dokument berücksichtigt.

8. Datenübermittlung

Über die Webseite erhobene personenbezogene Daten werden hauptsächlich innerhalb der Schweiz und des Europäischen Wirtschaftsraums (EWR) verarbeitet.

Einige in den Abschnitten 5 und 7 genannte Drittanbieter-Dienste (Google Fonts, Google Analytics 4) können eine Datenübermittlung in die Vereinigten Staaten von Amerika beinhalten. In solchen Fällen erfolgt die Übermittlung auf Grundlage angemessener Schutzgarantien gemäss nDSG und DSGVO, insbesondere:

• Standardvertragsklauseln (Standard Contractual Clauses) der Europäischen Kommission;
• Beitritt zum EU-US Data Privacy Framework, soweit anwendbar;
• Zusätzliche technische Massnahmen wie Pseudonymisierung und Anonymisierung (z. B. IP-Anonymisierung in Google Analytics 4).

Daten werden weder verkauft noch an Dritte zu Marketingzwecken weitergegeben.

9. Speicherdauer

Über die Webseite erhobene personenbezogene Daten werden nur so lange aufbewahrt, wie es für die Zwecke, für die sie erhoben wurden, erforderlich ist:

• Über das Kontaktformular erhaltene E-Mails: maximal 24 Monate ab Erhalt, sofern aus dem Kontakt kein Vertragsverhältnis entsteht; in letzterem Fall gelten die Aufbewahrungsfristen der Geschäftsbeziehung und der anwendbaren schweizerischen Steuer- und Buchhaltungspflichten (Art. 958f OR);
• Technische Server-Logs: maximal 90 Tage;
• Google Analytics 4-Daten: 14 Monate (Standardeinstellung), in aggregierter und anonymisierter Form;
• Cookies und Einwilligungspräferenzen: gemäss den in der Cookie-Richtlinie angegebenen Speicherdauern.

Nach Ablauf dieser Fristen werden die Daten gelöscht oder unwiderruflich anonymisiert.

10. Rechte der betroffenen Person

Gemäss dem Schweizer nDSG und der DSGVO haben Sie das Recht auf:

• Auskunft: Bestätigung der Verarbeitung und Erhalt einer Kopie Ihrer personenbezogenen Daten;
• Berichtigung: Korrektur unrichtiger oder unvollständiger Daten;
• Löschung: Löschung Ihrer personenbezogenen Daten, sofern anwendbar;
• Datenübertragbarkeit: Erhalt Ihrer Daten in einem strukturierten, gängigen und maschinenlesbaren Format;
• Widerspruch: Widerspruch gegen die Verarbeitung aus Gründen, die sich aus Ihrer besonderen Situation ergeben;
• Einschränkung: Einschränkung der Verarbeitung unter bestimmten Umständen;
• Widerruf der Einwilligung: jederzeitiger Widerruf einer erteilten Einwilligung (insbesondere für Analyse-Cookies), ohne dass die Rechtmässigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Für Cookies kann das Einwilligungspanel über das Symbol unten rechts auf der Webseite jederzeit erneut geöffnet werden;
• Beschwerde bei der Aufsichtsbehörde: Beschwerde bei der zuständigen Behörde (siehe Abschnitt 13).

Zur Ausübung dieser Rechte wenden Sie sich an die zentrale Anlaufstelle der gemeinsam Verantwortlichen: privacy@almatosca.ch. Die gemeinsam Verantwortlichen antworten ohne unangemessene Verzögerung und in der Regel innerhalb von 30 Tagen ab Erhalt der Anfrage.

11. Automatisierte Entscheidungsfindung und Profiling

Es findet keine automatisierte Entscheidungsfindung und kein Profiling statt, das rechtliche Wirkung gegenüber der betroffenen Person entfaltet, im Sinne von Art. 22 DSGVO und Art. 21 nDSG. Die statistischen Auswertungen über Google Analytics 4 erfolgen aggregiert und anonymisiert und werden nicht für Entscheidungen über einzelne Personen verwendet.

12. Datensicherheit

Die Webseite ist mit statischer Technologie (Astro) realisiert und speichert keine personenbezogenen Daten in einer eigenen Datenbank. Die gemeinsam Verantwortlichen treffen gleichwohl angemessene technische und organisatorische Massnahmen, um die Vertraulichkeit, Integrität und Verfügbarkeit der verarbeiteten personenbezogenen Daten gemäss den Anforderungen des nDSG und der DSGVO zu gewährleisten. Insbesondere:

• Verschlüsselung des Datenverkehrs mittels HTTPS/TLS (Let's-Encrypt-Zertifikat) sowohl unter almatosca.ch als auch unter www.almatosca.ch;
• Trennung des administrativen Zugangs zum Server und SSH-Authentifizierung mit Schlüssel;
• Rotation und Beschränkung der Zugriffsprotokolle (maximal 90 Tage);
• regelmässige Updates des Webservers (nginx) und des Betriebssystems;
• Kontrolle der Drittanbieter durch Auftragsverarbeitungsverträge und Auswahl von Anbietern mit anerkannten Sicherheitszertifizierungen.

13. Aufsichtsbehörde

Sie haben das Recht, eine Beschwerde bei der zuständigen Aufsichtsbehörde einzureichen. Insbesondere:

• Für in der Schweiz Ansässige: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB) — www.edoeb.admin.ch;
• Für in EU/EWR Ansässige: Datenschutzbehörde des jeweiligen Wohnsitzlandes (für Deutschland: jeweilige Landesdatenschutzbehörde — www.bfdi.bund.de).

14. Änderungen dieser Datenschutzerklärung

SwissCodex GmbH und New Target SA als gemeinsam Verantwortliche behalten sich das Recht vor, diese Datenschutzerklärung jederzeit zu aktualisieren, um regulatorische, technische oder organisatorische Änderungen widerzuspiegeln. Wesentliche Änderungen werden den Nutzern mit angemessener Vorankündigung mitgeteilt. Das Datum der letzten Aktualisierung ist oben im Dokument angegeben.