Datenschutzerklärung

ELCA ist einer der grössten unabhängigen Full-Service-Anbieter von Geschäfts- und Technologielösungen in der Schweiz und beschäftigt über 2'000 Experten, die auf IT-Beratung, Softwareentwicklung und Systemintegration spezialisiert sind. 

ELCA agiert je nach Kontext in zwei unterschiedlichen rechtlichen Funktionen:

Verantwortlicher – für Website-Besucher, Geschäftskontakte, Bewerber und Nutzer von Plattformen (B2C), die wir direkt betreiben, unterliegt die Datenverarbeitung dieser Datenschutzerklärung

Relevante Unternehmen:

• ELCA Informatique SA (CH)
• ELCA Security SA (CH)
• ELCA Information Technology S.L. (ES)
• ELCA Information Technology S.R.L (IT)
• ELCA Information Technology Ltd (VN)
• ELCA Information Technology ELCA Ltd (MU)
• SECUTIX SA (CH)
• SUMEX AG (CH)

Auftragsverarbeiter – bei der Erbringung von Dienstleistungen im Rahmen eines Kundenvertrags (B2B) ist der Kunde der Verantwortliche; die Datenverarbeitung wird durch die entsprechende Datenverarbeitungsvereinbarung (DPA) geregelt und unterliegt nicht dieser Datenschutzerklärung

Relevante Unternehmen:

• ELCA Informatique SA (CH)
• ELCA Cloud Services SA
• ELCA Security SA ((CH)
• Senthorus SA (CH)
• NEOSIS Solutions SA (CH)
• SECUTIX SA (CH)
• SECUTIX SA (FR)
• SECUTIX GmbH (DE)
• SECUTIX S.R.L (IT)
• SECUTIX B.V. (NL)
• SECUTIX Ltd (UK)
• SECUTIX FL LLC (US)
• SUMEX AG (CH)

Unsere Standorte: 

• Schweiz: Pully (Hauptsitz), Genf, Zürich, Bern, Basel, Rapperswil-Jona
• SECUTIX-Vertriebsbüros: Paris – Frankreich, Amsterdam – Niederlande, München – Deutschland, Mailand – Italien, London – Grossbritannien, Fort Lauderdale – USA
• Nearshore-Zentren in der EU: Palermo – Italien und Granada – Spanien
• Offshore-Zentren in Afrika und Asien: St. Pierre – Mauritius und Ho-Chi-Minh-Stadt – Vietnam

ELCA hat Stéphane Rosa zum Group Data Privacy Officer (Group DPO) ernannt, der für die Einhaltung der Datenschutz-Grundverordnung verantwortlich ist und als Ansprechpartner für alle damit zusammenhängenden Fragen zur Verfügung steht:

ELCA Informatique SA

Datenschutzbeauftragter (DPO)

Av. Général-Guisan 70A,

CH-1009 Pully

privacy@elca.ch

ELCA hat zudem gemäss Art. 27 DSGVO innerhalb der EU und gemäss Art. 27 UK-DSGVO innerhalb des Vereinigten Königreichs Vertreter benannt, die im Namen aller Tochtergesellschaften der ELCA-Gruppe handeln, die einen solchen Vertreter benötigen:

SecuTix Deutschland GmbH

z. Hd.: Norbert Stockmann

Landsbergerstraße 302

D-80687 München

norbert.stockmann@secutix.com

SecuTix Ltd

z. Hd.: Andy Duckworth

40 Villiers Street,

UK-London WC2N 6NJ
andy.duckworth@secutix.com

Unser Umgang mit Daten basiert auf vier Grundprinzipien, die jede unserer Entscheidungen darüber leiten, wie Informationen erfasst, genutzt und geschützt werden:

• Datenschutz durch Technikgestaltung. Wir integrieren den Datenschutz in unsere Strategie und unsere Geschäftsabläufe, um die Einhaltung von Vorschriften und das Risikomanagement kontinuierlich sicherzustellen
• Zweckbindung. Wir erheben, nutzen und geben nur Informationen weiter, die zur Bereitstellung unserer Lösungen und zur Unterstützung der Compliance unserer Kunden erforderlich sind
• Verantwortungsbewusste Nutzung. Wir fördern verantwortungsbewusste Datenpraktiken in unserem gesamten Unternehmen und unserer Lieferkette
• Kontinuierliche Verbesserung. Wir analysieren die Nutzung unserer Dienste, um Features, Funktionalität und Benutzererfahrung zu verbessern

“Personenbezogene Daten“ sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Welche Daten wir verarbeiten, hängt davon ab, wer Sie sind und wie Sie mit uns interagieren.

In Abschnitt 4 werden unsere wichtigsten Verarbeitungsaktivitäten, gruppiert nach Art der Aktivität, detailliert beschrieben. Für jede Aktivität werden die Rechtsgrundlage, die Aufbewahrungsfrist, die Kategorien der Empfänger und die wichtigsten Details der Verarbeitung dargelegt.

3.1  Daten, die Sie bereitstellen

Die folgenden Arten von personenbezogenen Daten können direkt von Ihnen erhoben werden, wenn Sie mit uns interagieren, sich für unsere Dienste registrieren oder anderweitig mit ELCA in Kontakt treten.

• Identifikationsdaten – Name, E-Mail-Adresse, Telefonnummer
• Berufliche Daten – Firmenname, Berufsbezeichnung, berufliche Funktion, Firmenadresse
• Kontodaten – Benutzername, Passwort, Kontoeinstellungen
• Kommunikation – Nachrichten, Feedback, Kommentare, Umfrageantworten
• Bewerbungsdaten – Lebenslauf, Assessments, Notizen zu Vorstellungsgesprächen (im Rahmen der Personalbeschaffung)

3.2  Automatisch erfasste Daten

Zusätzlich zu den Informationen, die Sie aktiv bereitstellen, erfassen wir automatisch bestimmte technische und verhaltensbezogene Daten, wenn Sie unsere Websites oder Plattformen nutzen.

• Technische Daten – IP-Adresse, Browsertyp, Gerätetyp, Betriebssystem
• Nutzungsdaten – besuchte Seiten, genutzte Funktionen, Sitzungsdauer, Interaktionen
• Tracking-Daten – Cookies und ähnliche Technologien (siehe Abschnitt 6)

3.3  Daten von Dritten

Wir können auch personenbezogene Daten über Sie aus externen Quellen erhalten, sofern dies für unsere Geschäftsbeziehung mit Ihnen relevant ist.

• Geschäftskontaktdaten – von Partnern, Lead-Anbietern und Business-Intelligence-Tools
• Öffentliche Quellen – berufliche Profile (z. B. LinkedIn), Unternehmenswebsites, öffentliche Register

Je nach Tätigkeit stützen wir uns auf die folgenden Rechtsgrundlagen:

• Vertragsdurchführung – Verarbeitung, die zum Abschluss oder zur Erfüllung eines Vertrags mit Ihnen erforderlich ist
• Berechtigte Interessen – Verarbeitung, die für unsere berechtigten geschäftlichen Interessen erforderlich ist, sofern Ihre Rechte nicht überwiegen. Beispiele hierfür sind IT-Sicherheit, Serviceverbesserung und B2B-Marketing
• Einwilligung – sofern wir Ihre Einwilligung eingeholt und erhalten haben (z. B. nicht unbedingt erforderliche Cookies, Aufzeichnung von Anrufen). Sie können Ihre Einwilligung jederzeit widerrufen, ohne dass dies die Rechtmässigkeit der bisherigen Verarbeitung beeinträchtigt
• Gesetzliche Verpflichtung – Verarbeitung, die nach geltendem Recht oder geltenden Vorschriften erforderlich ist

Prüfung berechtigter Interessen. Wenn wir uns auf berechtigte Interessen stützen, prüfen wir: (1) ob die Verarbeitung für ein berechtigtes geschäftliches Ziel erforderlich ist (Zweckprüfung); (2) ob sie verhältnismässig und auf das erforderliche Mass beschränkt ist (Notwendigkeitsprüfung); und (3) ob die Auswirkungen auf betroffene Personen begrenzt sind und deren Rechte nicht überwiegen (Abwägungsprüfung). Weitere Informationen zu diesen Prüfungen können Sie unter privacy@elca.ch anfordern.

Wir verwenden Cookies und ähnliche Technologien für die Funktionalität der Website, für Analysen, zur Personalisierung und für Marketingzwecke. Cookies sind in vier Kategorien unterteilt, die über unseren Cookie-Manager verwaltet werden können:

• Erforderlich – für die Kernfunktionen der Website notwendig, immer aktiv
• Einstellungen – Speicherung Ihrer Einstellungen wie Sprache oder Region
• Statistiken – anonyme Nutzungsdaten, die uns helfen, die Website zu verbessern
• Marketing – Verfolgung der Aktivitäten auf verschiedenen Websites, um relevante Werbung anzuzeigen

Nicht essentielle Cookies werden nur mit Ihrer Zustimmung gesetzt. Sie können Ihre Einstellungen jederzeit über den Cookie-Manager ändern. Beachten Sie, dass Cookie-Einstellungen auf Browserebene Ihre Auswahl im Cookie-Manager ausser Kraft setzen können, was bedeutet, dass Ihre Einstellungen möglicherweise nicht über mehrere Besuche hinweg beibehalten werden.

Wir verwenden Sitzungscookies (die gelöscht werden, wenn Sie Ihren Browser schliessen) und dauerhafte Cookies (die gespeichert bleiben, bis sie ablaufen oder Sie sie löschen). Einige Cookies werden von Drittanbietern gesetzt, die in unserem Auftrag handeln.

Wir verkaufen oder vermieten keine personenbezogenen Daten. Wir geben Daten nur wie unten beschrieben weiter, und alle Empfänger sind vertraglich verpflichtet, diese zu schützen:

• Dienstleister/Anbieter – Hosting, Analytik, CRM, E-Mail-Plattformen, Support-Tools, Rekrutierungs- und HR-Plattformen sowie Veranstaltungs-/Videokonferenzplattformen. Diese sind nur zur Datenverarbeitung gemäss unseren Anweisungen berechtigt. Diejenigen, die bei der Erbringung von Kundendienstleistungen eingesetzt werden, können als Unterauftragsverarbeiter gemäß den geltenden Datenschutzbestimmungen und sind in der entsprechenden DPA aufgeführt. Eine aktuelle Liste der Kategorien von Unterauftragsverarbeitern ist auf Anfrage unter privacy@elca.ch erhältlich
• Unternehmen der ELCA-Gruppe – unsere Tochtergesellschaften und verbundenen Unternehmen, soweit dies für die Erbringung von Dienstleistungen erforderlich ist
• Geschäftspartner – sofern dies im Rahmen einer Partnerschaftsvereinbarung relevant ist. Partner dürfen Ihre Daten nur gemäss unseren Anweisungen verarbeiten
• Drittanbieter-Cookie-Partner – zu Analyse- und Werbezwecken; verwaltbar über unseren Cookie-Manager
• Aufsichts- und Justizbehörden – sofern dies gesetzlich vorgeschrieben ist oder aufgrund einer rechtmässigen Anfrage von Regierungs- oder Strafverfolgungsbehörden erforderlich ist. Wir werden Sie darüber informieren, sofern dies zulässig ist
• Sicherheit und Schutz von Rechten – soweit dies in gutem Glauben erforderlich ist, um die Sicherheit zu gewährleisten, Betrug zu verhindern oder unsere Vereinbarungen durchzusetzen
• Unternehmenstransaktionen – bei Fusionen, Übernahmen oder Veräusserungen, vorbehaltlich gleichwertiger Datenschutzmaßnahmen

ELCA hat seinen Hauptsitz in der Schweiz und daten können in die Schweiz, an unsere EU-Tochtergesellschaften,nach Vietnam, Mauritius, in die USA oder nach Grossbritannien übertragen oder von dort abgerufen werden.

Bei der Übermittlung personenbezogener Daten ausserhalb des EWR, der Schweiz oder des Vereinigten Königreichs wenden wir eine oder mehrere der folgenden Schutzmassnahmen an:

• Standardvertragsklauseln (SCCs) – werden als unser primärer Übermittlungsmechanismus verwendet, bei Bedarf ergänzt durch schweizerische und britische Zusatzklauseln
• Angemessenheitsbeschlüsse – werden für Übermittlungen in Länder herangezogen, die als Länder mit gleichwertigem Datenschutz anerkannt sind
• Folgenabschätzungen zur Datenübermittlung – werden durchgeführt, wenn dies gemässs den geltenden behördlichen Leitlinien erforderlich ist
• Ergänzende technische und organisatorische Massnahmen – werden angewendet, wenn das Schutzniveau im Zielland verstärkt werden muss
• Einwilligung – wird für bestimmte Übermittlungen eingeholt, bei denen andere Mechanismen nicht anwendbar sind

Wir speichern personenbezogene Daten nur so lange, wie dies erforderlich ist. Die Aufbewahrungsfristen richten sich nach gesetzlichen und behördlichen Anforderungen, vertraglichen Verpflichtungen, der Art und Sensibilität der Daten sowie dem Risiko eines Schadens durch unbefugte Nutzung. Wir überprüfen regelmässig unsere Aufbewahrungsfristen und löschen oder anonymisieren Daten sicher, sobald sie nicht mehr benötigt werden. Anonymisierte Daten, die keine Rückschlüsse mehr auf eine bestimmte Person zulassen, fallen nicht in den Geltungsbereich dieser Erklärung.

Wir ergreifen geeignete technische und organisatorische Massnahme, um personenbezogene Daten vor Verlust, Missbrauch, unbefugtem Zugriff, Veränderung, Offenlegung oder Zerstörung zu schützen. Zu unseren Massnahmen gehören:

• Zugriffskontrollen – rollenbasierte Zugriffskontrollen und das Prinzip der geringsten Berechtigungen
• Verschlüsselung – bei der Übertragung und gegebenenfalls bei der Speicherung
• Protokollierung und Überwachung – von Systemen und Benutzeraktivitäten
• Sicherheitstests – regelmässige Bewertungen und Penetrationstests
• Reaktion auf Vorfälle – dokumentierte Verfahren zur Erkennung, Meldung und Behebung von Sicherheitsverletzungen
• Verfügbarkeit – Massnahmen zur raschen Wiederherstellung des Zugriffs auf Daten im Falle eines physischen oder technischen Vorfalls

Je nach Ihrem Standort stehen Ihnen Rechte gemäss den geltenden Datenschutzgesetzen zu. Um ein Recht auszuüben, senden Sie eine E-Mail an privacy@elca.ch. Anfragen sind in den meisten Fällen kostenlos. Wir überprüfen Ihre Identität, bevor wir eine Anfrage bearbeiten, antworten innerhalb von 30 Tagen (bei komplexen Fällen verlängerbar um weitere 60 Tage, wobei wir Sie darüber informieren) und dokumentieren und verfolgen alle Anfragen. In einigen Fällen können gesetzliche Verpflichtungen unsere Fähigkeit einschränken, einer bestimmten Anfrage nachzukommen.

• Zugriff – Erhalt einer Kopie der personenbezogenen Daten, die wir über Sie gespeichert haben
• Berichtigung – Korrektur unrichtiger oder unvollständiger Daten
• Löschung – Beantragung der Löschung Ihrer personenbezogenen Daten
• Einschränkung – uns bitten, die Verarbeitung einiger oder aller Ihrer Daten auszusetzen
• Übertragbarkeit – Ihre Daten in einem maschinenlesbaren Format erhalten, sofern die Verarbeitung auf Einwilligung oder Vertrag beruht und automatisiert erfolgt
• Widerspruch / Opt-out – der Verarbeitung auf der Grundlage berechtigter Interessen oder einer Einwilligung widersprechen, einschliesslich der Weitergabe an Dritte für Werbezwecke über Cookies
• Widerruf der Einwilligung – jederzeit, ohne dass die Rechtmässigkeit der Verarbeitung vor dem Widerruf beeinträchtigt wird

Sie haben zudem das Recht, eine Beschwerde bei Ihrer Aufsichtsbehörde einzureichen: beim Schweizer EDÖB (www.edoeb.admin.ch) oder bei der für Ihren Wohnsitzstaat zuständigen Aufsichtsbehörde.

Wir verarbeiten Ihre Kontaktdaten, um unserer gesetzlichen Verpflichtung zur Beantwortung Ihres Antrags auf Ausübung Ihrer Rechte als betroffene Person nachzukommen.

 Unsere Dienste richten sich nicht an Minderjährige im Sinne der geltenden Rechtsvorschriften. Wir erheben wissentlich keine personenbezogenen Daten von Minderjährigen. Wenn Sie der Meinung sind, dass wir versehentlich solche Daten erhoben haben, kontaktieren Sie uns bitte unter privacy@elca.ch.

Unsere Websites und Plattformen können Links zu Websites Dritter enthalten, die nicht der Kontrolle von ELCA unterliegen. Diese Erklärung gilt nicht für diese Websites. Wir empfehlen Ihnen, die Datenschutzrichtlinien aller externen Websites, die Sie besuchen, zu überprüfen. Wir sind nicht für die Datenschutzpraktiken Dritter verantwortlich.

Im Rahmen der Nutzung unserer Dienste fragen wir Sie möglicherweise nach geschäftlichen Informationen über Ihr Unternehmen (Praktiken, Richtlinien, Prozesse, Dokumentation). Diese werden auf ELCA-Systemen gespeichert und ausschliesslich zur Bereitstellung der vertraglich vereinbarten Lösungen gemäss der entsprechenden Vereinbarung verwendet.

ELCA kann im Zusammenhang mit den von dieser Datenschutzerklärung erfassten personenbezogenen Daten Tools und Plattformen der künstlichen Intelligenz (KI) einsetzen. In diesem Abschnitt werden die Einschränkungen erläutert, die für die Verarbeitung dieser Daten durch KI-Tools gelten. 

Dies gilt nicht für Kundendaten, die von ELCA als Auftragsverarbeiter im Rahmen eines Kundenvertrags verarbeitet werden; hierfür gilt die entsprechende Datenverarbeitungsvereinbarung.

15.1  Was unsere Richtlinien in Bezug auf die von dieser Datenschutzerklärung erfassten personenbezogenen Daten vorschreiben

• Kein Modelltraining mit personenbezogenen Daten – wir verbessern KI-Modelle nicht mit Ihren Daten
• Keine Datenübermittlung ausserhalb anerkannter Rechtsordnungen – wir leiten keine personenbezogenen Daten in Länder weiter oder speichern sie bei Unterauftragsverarbeitern, die nicht unter die in Abschnitt 8 beschriebenen Datenübermittlungssicherheitsvorkehrungen von ELCA fallen
• Keine unbeaufsichtigten Entscheidungen über Personen – wir treffen keine rein automatisierten Entscheidungen, die rechtliche oder ähnlich weitreichende Auswirkungen auf Einzelpersonen haben
• Kein Betrieb ohne Zugriffskontrollen – kein Zugriff auf HR-Systeme, CRM-Plattformen, Rekrutierungstools oder Website-Analysen über die den einzelnen Benutzern zugewiesenen Berechtigungen hinaus, soweit zutreffend
• Keine ungerechtfertigte Verarbeitung personenbezogener Daten für Zwecke, die über die in der Rechtsgrundlage und den internen Richtlinien zur Nutzung von KI definierten Zwecke hinausgehen

15.2  Von uns angewandte Sicherheitsvorkehrungen

Vor dem Einsatz eines KI-Tools, das personenbezogene Daten verarbeitet, führt ELCA eine Anbieter-Due-Diligence-Prüfung durch, stellt sicher, dass geeignete Datenverarbeitungsvereinbarungen bestehen, und wendet die Grundsätze der Datenminimierung an. Fragen zu bestimmten verwendeten KI-Tools können an privacy@elca.ch gerichtet werden.

Wir behalten uns vor, diese Erklärung aktualisieren, um Änderungen der geltenden Gesetze, der Technologie oder unserer Geschäftstätigkeit Rechnung zu tragen. Wesentliche Änderungen, die sich auf die Verarbeitung Ihrer personenbezogenen Daten auswirken, werden auf unserer Website veröffentlicht. Wir empfehlen Ihnen, diese Erklärung regelmässig zu überprüfen.