Datenschutzerklärung

Datenschutzerklärung

  1. Verantwortliche Stelle

Verantwortlich für die Bearbeitung von Personendaten im Zusammenhang mit dieser Website ist:

Verein Open Doors Engadin
BKA 96 Capolago
7516 Maloja
Schweiz
E-Mail: office@opendoors-engadin.org

Für Fragen zum Datenschutz oder zur Ausübung Ihrer Rechte können Sie uns jederzeit über die oben genannte Adresse kontaktieren.

  1. Allgemeines zur Bearbeitung von Personendaten

Wir bearbeiten Personendaten nur, soweit dies für den Betrieb unserer Website, die Organisation unserer Veranstaltungen, die Verwaltung von Reservationen, die Kommunikation mit Teilnehmenden und Volunteers sowie für die Erfüllung gesetzlicher oder organisatorischer Pflichten erforderlich ist.

Zu den bearbeiteten Personendaten können insbesondere gehören: Name, Adresse, E-Mail-Adresse, Telefonnummer, Login-Daten, Reservationsdaten, Volunteer-Einsatzdaten, technische Zugriffsdaten sowie Kommunikationsinhalte.

Wir bearbeiten Personendaten nach den Grundsätzen des Schweizer Datenschutzgesetzes, insbesondere rechtmässig, nach Treu und Glauben, verhältnismässig, zweckgebunden und transparent. Soweit die Datenschutz-Grundverordnung der Europäischen Union anwendbar ist, bearbeiten wir Personendaten zusätzlich auf Grundlage der jeweils einschlägigen Rechtsgrundlagen der DSGVO.

  1. Hosting in Microsoft Azure Switzerland

Unsere Website und die damit verbundenen Systeme werden in Microsoft Azure betrieben. Nach unserer aktuellen Konfiguration erfolgt das Hosting in Azure-Regionen innerhalb der Schweiz, insbesondere Switzerland North und gegebenenfalls Switzerland West.

Microsoft kann dabei als Auftragsbearbeiter technische Zugriffsdaten und weitere Daten verarbeiten, soweit dies für Betrieb, Wartung, Sicherheit, Monitoring, Fehleranalyse und Bereitstellung der Azure-Dienste erforderlich ist. Die vertraglichen Datenschutz- und Sicherheitsverpflichtungen von Microsoft ergeben sich insbesondere aus den Microsoft Product Terms und dem Microsoft Products and Services Data Protection Addendum.

Microsoft weist darauf hin, dass das Microsoft Products and Services Data Protection Addendum die Pflichten von Microsoft und Kunden zur Verarbeitung und Sicherheit von Customer Data und Personal Data für Azure regelt.

  1. Server-Logs und technische Zugriffsdaten

Beim Besuch unserer Website werden automatisch technische Daten verarbeitet, die Ihr Browser oder Endgerät übermittelt. Dazu können insbesondere gehören:

  • IP-Adresse
  • Datum und Uhrzeit des Zugriffs
  • aufgerufene Seiten und Dateien
  • Referrer-URL
  • Browsertyp und Browserversion
  • Betriebssystem
  • Geräteinformationen
  • Fehler- und Sicherheitsereignisse

Wir verwenden diese Daten zur Bereitstellung der Website, zur Gewährleistung der Systemsicherheit, zur Fehleranalyse, zur Missbrauchsverhinderung und zur technischen Optimierung. Eine Zusammenführung dieser Daten mit anderen Datenquellen erfolgt nur, soweit dies zur Abklärung von Störungen, Sicherheitsvorfällen oder rechtswidriger Nutzung erforderlich ist.

Server-Logs werden grundsätzlich nur so lange aufbewahrt, wie dies für die genannten Zwecke erforderlich ist. Die konkrete Aufbewahrungsdauer beträgt in der Regel 90 Tage sofern keine längere Aufbewahrung zur Abklärung eines Sicherheitsvorfalls oder zur Erfüllung rechtlicher Pflichten erforderlich ist.

  1. Benutzerkonto, Favoriten und Reservationen

Wenn Sie sich auf unserer Website registrieren, bearbeiten wir die von Ihnen angegebenen Daten zur Erstellung und Verwaltung Ihres Benutzerkontos. Das Benutzerkonto ermöglicht insbesondere das Markieren von Favoriten im Gebäudekatalog und die Reservation von Führungen.

Für Reservationen bearbeiten wir zusätzlich Angaben zur gebuchten Führung, Anzahl Plätze, Zeitpunkt der Reservation und allfällige organisatorische Informationen. Wir verwenden diese Daten zur Abwicklung der Reservation, zur Kommunikation über die gebuchte Führung sowie zur Organisation der Veranstaltung.

Veranstaltungsbezogene Mitteilungen, die unmittelbar mit Ihrer Registrierung oder Reservation zusammenhängen, können wir Ihnen per E-Mail zustellen. Allgemeine Newsletter oder weitergehende Veranstaltungsinformationen erhalten Sie nur, wenn Sie dem separat zugestimmt haben.

  1. Volunteers

Wenn Sie sich als Volunteer registrieren, bearbeiten wir Ihre Angaben zur Prüfung, Freischaltung, Planung und Koordination von Einsätzen. Dazu können insbesondere Name, E-Mail-Adresse, Telefonnummer, gewünschte Einsatzbereiche, Verfügbarkeit und Einsatzzuordnungen gehören.

Nach der Freischaltung können bestimmte Kontaktdaten im geschützten Volunteer-Bereich für andere freigeschaltete Volunteers sichtbar sein, soweit dies für die Einsatzkoordination erforderlich ist. Dies betrifft insbesondere Name, E-Mail-Adresse, Telefonnummer.

Diese Daten dürfen von Volunteers ausschliesslich zur Koordination und Durchführung der Einsätze im Rahmen von Open Doors Engadin verwendet werden. Eine Veröffentlichung ausserhalb des geschützten Volunteer-Bereichs oder eine Verwendung für private oder werbliche Zwecke ist nicht gestattet.

  1. Newsletter und Mailchimp

Für den Versand von Newslettern und veranstaltungsbezogenen Informationen verwenden wir Mailchimp, einen Dienst von The Rocket Science Group LLC d/b/a Mailchimp, einem Unternehmen der Intuit-Gruppe mit Sitz in den USA.

Wenn Sie sich für unseren Newsletter anmelden, bearbeiten wir insbesondere Ihre E-Mail-Adresse, den Zeitpunkt der Anmeldung, den Zeitpunkt der Bestätigung, die IP-Adresse bei Anmeldung und Bestätigung sowie gegebenenfalls weitere freiwillig angegebene Informationen.

Die Anmeldung erfolgt grundsätzlich über ein Double-Opt-in-Verfahren. Sie erhalten nach der Anmeldung eine E-Mail, in der Sie Ihre Anmeldung bestätigen müssen. Die Protokollierung dient dem Nachweis Ihrer Einwilligung.

Sie können Ihre Einwilligung jederzeit widerrufen, insbesondere über den Abmeldelink in jeder Newsletter-E-Mail oder durch Nachricht an uns.

Beim Versand von Newslettern können statistische Auswertungen erfolgen, insbesondere ob ein Newsletter geöffnet wurde und welche Links angeklickt wurden. Diese Auswertungen dienen der technischen und inhaltlichen Verbesserung unserer Kommunikation. Soweit möglich, verwenden wir solche Daten nicht zur individuellen Überwachung einzelner Personen.

Bei der Nutzung von Mailchimp können Personendaten in die USA übertragen werden. Mailchimp stützt solche Übermittlungen nach eigenen Angaben auf das Swiss-U.S. Data Privacy Framework und, soweit erforderlich, auf Standardvertragsklauseln und weitere vertragliche Schutzmassnahmen.

  1. Cookies und ähnliche Technologien

Unsere Website verwendet Cookies und ähnliche Technologien. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Einige Cookies sind technisch notwendig, damit die Website funktioniert. Andere Cookies und ähnliche Technologien verwenden wir nur, sofern Sie eingewilligt haben oder eine andere gesetzliche Grundlage besteht.

Wir unterscheiden insbesondere folgende Kategorien:

  • Notwendige Cookies: für Login, Sicherheit, Session-Verwaltung und technische Bereitstellung.
  • Statistik-Cookies: zur Analyse der Nutzung unserer Website, sofern eingesetzt und eingewilligt.
  • Externe Medien und Karten: zur Anzeige von Inhalten wie YouTube-Videos, Google Maps oder Social-Media-Inhalten.
  • Marketing-Cookies: nur sofern entsprechende Dienste eingesetzt werden und Sie eingewilligt haben.

Sie können Ihre Cookie-Einstellungen jederzeit über Ihren Browser ändern oder widerrufen.

  1. Google Analytics

Nur verwenden, wenn ihr Google Analytics tatsächlich einsetzt:

Wir verwenden Google Analytics, einen Webanalysedienst von Google, um die Nutzung unserer Website statistisch auszuwerten und unser Angebot zu verbessern. Google Analytics kann Cookies und ähnliche Technologien verwenden und Informationen über die Nutzung unserer Website verarbeiten.

Google Analytics wird nur aktiviert, wenn Sie in die entsprechende Kategorie eingewilligt haben. Sie können Ihre Einwilligung jederzeit über die Cookie-Einstellungen widerrufen.

Wir verwenden Google Analytics mit datenschutzfreundlichen Einstellungen, soweit verfügbar.

Bei der Nutzung von Google-Diensten können Daten an Google-Gesellschaften im Ausland, insbesondere in die USA, übertragen werden. Google LLC ist nach eigenen Angaben unter dem EU-U.S. und Swiss-U.S. Data Privacy Framework zertifiziert.

  1. Google Maps

Unsere Website kann Google Maps verwenden, um Standorte und geografische Informationen darzustellen. Anbieter ist Google.

Beim Aufruf von Google Maps können Daten wie IP-Adresse, Standortdaten, Nutzungsdaten und Geräteinformationen an Google übermittelt werden. Google Maps wird, soweit technisch möglich, erst nach Ihrer Einwilligung geladen.

Wenn Sie die Übermittlung an Google vermeiden möchten, nutzen Sie bitte alternative Wegbeschreibungen oder kontaktieren Sie uns direkt.

  1. YouTube

Unsere Website kann Videos von YouTube einbetten. Anbieter ist Google. Beim Laden oder Abspielen eines YouTube-Videos können Daten an Google übermittelt werden.

Wir binden YouTube-Videos nach Möglichkeit datenschutzfreundlich ein, zum Beispiel über eine Zwei-Klick-Lösung oder über den erweiterten Datenschutzmodus. Videos werden erst geladen, wenn Sie der Anzeige externer Medien zugestimmt haben.

  1. Instagram und Social Media

Unsere Website kann Links oder eingebettete Inhalte von Instagram oder anderen sozialen Netzwerken enthalten. Wenn Sie solche Inhalte aufrufen oder aktivieren, können Daten an die jeweiligen Anbieter übermittelt werden. Dies gilt insbesondere, wenn Sie bei dem betreffenden Dienst eingeloggt sind.

Eingebettete Social-Media-Inhalte werden, soweit technisch möglich, erst nach Ihrer Einwilligung geladen.

  1. Bekanntgabe von Personendaten an Dritte und ins Ausland

Wir geben Personendaten nur an Dritte weiter, wenn dies für die genannten Zwecke erforderlich ist, wenn eine gesetzliche Pflicht besteht, wenn Sie eingewilligt haben oder wenn ein überwiegendes berechtigtes Interesse besteht.

Zu den Empfängern können insbesondere gehören:

  • Hosting- und Cloud-Anbieter, insbesondere Microsoft Azure
  • Newsletter-Dienstleister, insbesondere Mailchimp
  • Analyse- und Kartendienste, insbesondere Google
  • technische Dienstleister für Betrieb, Wartung und Support
  • Behörden, soweit wir rechtlich dazu verpflichtet sind

Einige dieser Empfänger können sich ausserhalb der Schweiz befinden. Bei einer Bekanntgabe in Länder ohne angemessenes Datenschutzniveau sorgen wir für geeignete Garantien, insbesondere Standardvertragsklauseln, Data Privacy Framework-Zertifizierungen oder andere gesetzlich vorgesehene Schutzmassnahmen.

Das ist wichtig, weil das DSG verlangt, dass bei Auslandbekanntgaben auch Empfängerstaaten und mögliche Garantien angegeben werden.

  1. Aufbewahrungsdauer

Wir speichern Personendaten nur so lange, wie dies für die jeweiligen Zwecke erforderlich ist, wie eine gesetzliche Aufbewahrungspflicht besteht oder wie wir ein berechtigtes Interesse an der Aufbewahrung haben.

Grundsätzlich gelten folgende Aufbewahrungsfristen:

  • Benutzerkonten: bis zur Löschung des Kontos oder solange die Nutzung der Plattform erforderlich ist.
  • Reservationen: bis zur Durchführung der Veranstaltung und anschliessend für zwei Jahre zu Dokumentations- und Nachweiszwecken.
  • Volunteer-Daten: solange die Volunteer-Tätigkeit besteht und anschliessend für zwei Jahre nach dem letzten Einsatz
  • Newsletter-Daten: bis zur Abmeldung; Nachweise über Einwilligungen können länger aufbewahrt werden, soweit dies zur Dokumentation erforderlich ist.
  • Server-Logs: in der Regel 90 Tage sofern keine längere Aufbewahrung wegen Sicherheitsvorfällen erforderlich ist.

Sobald Personendaten für die genannten Zwecke nicht mehr erforderlich sind, werden sie gelöscht oder anonymisiert.

  1. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um Personendaten vor Verlust, Missbrauch, unbefugtem Zugriff, Offenlegung, Veränderung oder Zerstörung zu schützen.

Dazu gehören insbesondere verschlüsselte Übertragung mittels HTTPS/TLS, Zugriffsbeschränkungen, Rollen- und Rechtekonzepte, Protokollierung sicherheitsrelevanter Ereignisse, regelmässige Aktualisierung der Systeme und Sicherungsmassnahmen innerhalb der eingesetzten Azure-Infrastruktur.

Trotz dieser Massnahmen kann keine absolute Sicherheit gewährleistet werden.

Microsoft beschreibt für seine Cloud unter anderem Schutz von Daten „at rest“ und „in transit“, Subprocessor-Beschränkungen sowie vertragliche Datenschutzverpflichtungen.

  1. Rechte betroffener Personen

Sie haben im Rahmen des anwendbaren Datenschutzrechts insbesondere das Recht, Auskunft über die von uns bearbeiteten Personendaten zu verlangen. Sie können zudem verlangen, dass unrichtige Daten berichtigt, Daten gelöscht oder bestimmte Bearbeitungen eingeschränkt werden. Soweit eine Datenbearbeitung auf Ihrer Einwilligung beruht, können Sie diese Einwilligung jederzeit widerrufen.

Sie können Ihre Rechte geltend machen, indem Sie uns unter office@opendoors-engadin.org kontaktieren.

Sie haben ausserdem das Recht, bei der zuständigen Datenschutzbehörde Beschwerde einzureichen. In der Schweiz ist dies der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte, EDÖB.

Der EDÖB bestätigt insbesondere das Auskunftsrecht sowie die Möglichkeit, Berichtigung oder Löschung zu verlangen; Auskünfte werden in der Regel innert 30 Tagen kostenlos erteilt.