Datenschutzerklärung

1 Einleitung / Geltungsbereich

Diese Datenschutzerklärung beschreibt, wie und zu welchem Zweck die mtrail GmbH (Schweiz), die mtrail Deutschland GmbH und mtrail Romania Ltd. personenbezogene Daten erhebt, verarbeitet und nutzt. Der verantwortungsvolle Umgang mit diesen Daten ist uns ein wichtiges Anliegen.

Die Datenschutzerklärung gilt für alle mtrail-Gesellschaften - die mtrail GmbH (Schweiz), die mtrail Deutschland GmbH und mtrail Romania Ltd. Im weiteren Verlauf des Dokumentes wird die Kurzform «mtrail» als Bezeichnung für die Gesamtheit der Gesellschaften verwendet.

Diese Datenschutzerklärung entspricht sowohl dem schweizerischen Datenschutzgesetz als auch der europäischen Datenschutzgrundverordnung (DSGVO).

2 Verantwortliche Stellen und Kontakt

Für die Datenverarbeitung gemäss dieser Datenschutzerklärung ist grundsätzlich entweder die mtrail GmbH (Schwarztorstrasse 22, 3007 Bern), die mtrail Deutschland GmbH (Nussbaumstr. 4, 80336 München) oder mtrail Romania Ltd. (Str. Deva, Nr. 1-7, 400375 Cluj-Napoca) verantwortlich. In bestimmten Fällen können diese Unternehmen auch gemeinsam verantwortlich sein, wenn sie gemeinsam über die Form oder den Zweck der betreffenden Datenverarbeitung entscheiden.

Wenn Sie datenschutzrechtliche Anliegen haben, können Sie uns diese unter folgender Kontaktadresse mitteilen, die für alle oben genannten Gesellschaften von mtrail gilt: mtrail GmbH, Schwarztorstrasse 22, 3007 Bern, E-Mail: datenschutz@mtrail.eu.

Unsere Datenschutzbeauftragte Nataly Romo gemäss Art. 37 DSGVO erreichen Sie per E-Mail an datenschutz@mtrail.eu. Unsere Vertreterin im EWR nach Art. 27 DSGVO ist die mtrail Deutschland GmbH, Nussbaumstr. 4, 80336 München, E-Mail: datenschutz@mtrail.eu.

3 Erhebung und Verarbeitung von Personendaten

Wir erheben und verarbeiten personenbezogene Daten fast immer, wenn Sie mit uns oder wir mit Ihnen interagieren. Insbesondere gilt dies für folgende Gelegenheiten und Zwecke:

  • Kundendaten von Kunden, für die wir Leistungen erbringen oder erbracht haben;
  • Personendaten, die wir bei der Leistungserbringung indirekt von unseren Kunden erhalten haben;
  • Beim Besuch unserer Website;
  • Bei der Teilnahme an einer unserer Veranstaltungen;
  • Wenn wir mit Ihnen kommunizieren;
  • Bei vertraglichen Beziehungen, z.B. als Lieferant, Dienstleistungserbringer oder Berater;
  • Bei Bewerbungen;
  • Wenn wir aus gesetzlichen oder regulatorischen Gründen dazu verpflichtet sind;
  • Wenn wir unsere Sorgfaltspflichten oder sonstige berechtigte Interessen wahrnehmen, z.B. um Interessenkonflikte, Geldwäscherei oder andere Risiken zu vermeiden, die Datenrichtigkeit sicherzustellen, die Sicherheit zu gewährleisten oder unsere Rechte durchzusetzen.

4 Kategorien von Personendaten

«Personenbezogene Daten» sind Informationen, die einer bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können.

Welche Personendaten wir verarbeiten ist abhängig von Ihrer Beziehung zu uns und vom Zweck der Datenverarbeitung. Die Hauptkategorien der Personendaten sind in den folgenden Abschnitten beschrieben.

4.1 Stammdaten

Stammdaten sind die grundlegenden Daten über eine Person, wie Anrede, Name oder Kontaktdaten. Wir erheben Stammdaten über Kontaktpersonen und Vertreter von Kunden, Vertragspartnern, Organisationen und Behörden sowie über Stellenbewerber:innen.

Zu den Stammdaten gehören:

  • Anrede, Vorname, Nachname, Geschlecht, Geburtsdatum;
  • Anschrift, E-Mail-Adresse, Telefonnummer und sonstige Kontaktdaten;
  • Zahlungsinformationen (z.B. hinterlegte Zahlungsmittel, Bankverbindung, Rechnungsadresse);
  • Angaben zu verknüpften Websites, Social-Media-Profilen etc.;
  • Angaben zu Vorlieben und Interessen, Sprachpräferenzen etc.;
  • Angaben über Ihre Beziehung mit uns (z.B. Kund:in, Besucher:in, Lieferant:in);
  • Angaben über verbundene Dritte (z.B. Kontaktpersonen, Empfänger:innen von Dienstleistungen oder Vertreter:innen);
  • Informationen über Ihre Teilnahme an Veranstaltungen (z.B. Networking-Veranstaltungen);
  • Behördliche Dokumente, in denen Sie erwähnt werden (z.B. Ausweisdokumente, Handelsregisterauszüge, Bewilligungen);
  • Angaben über Titel und Funktion im Unternehmen bei Kontaktpersonen und Vertreter:innen unserer Geschäftspartner.

4.2 Vertragsdaten

Vertragsdaten sind personenbezogene Daten, die im Zusammenhang mit der Abwicklung eines Vertrages anfallen. Verträge schliessen wir vor allem mit Kund:innen, Subunternehmer:innen, Geschäftspartner:innen und Stellenbewerber:innen.

Zu den Vertragsdaten gehören beispielsweise Informationen:

  • Über die Anbahnung und den Abschluss von Verträgen, z.B. Datum des Vertragsabschlusses, Angaben aus dem Antragsprozess und zum Vertrag selbst (z.B. Art und Laufzeit oder Identitätsnachweise wie Kopien amtlicher Ausweise);
  • Zur Vertragsabwicklung und -verwaltung (z.B. Kontaktdaten, Lieferadressen, erfolgte oder fehlgeschlagene Lieferungen und Zahlungsinformationen);
  • Im Zusammenhang mit einer Stellenbewerbung, z.B. Lebenslauf, Referenzen, Qualifikationen, Zeugnisse, Gesprächsnotizen (die auch personenbezogene Daten Dritter enthalten können);
  • Um mit Ihnen als Kontaktperson oder Vertreter:in eines Geschäftspartners zu interagieren.

4.3 Kommunikationsdaten

Wenn Sie mit uns oder wir mit Ihnen in Kontakt treten, z.B. wenn Sie uns schreiben oder anrufen, verarbeiten wir den Inhalt der ausgetauschten Kommunikation und Informationen über Art, Zeitpunkt und Ort der Kommunikation. In bestimmten Situationen können wir Sie auch um einen Identitätsnachweis bitten, um Sie zu identifizieren.

Kommunikationsdaten sind zum Beispiel:

  • Name und Kontaktinformationen wie Postanschrift, E-Mail-Adresse und Telefonnummer;
  • Inhalt von E-Mails, schriftlicher Korrespondenz, Chat-Nachrichten, Beiträgen in sozialen Medien, Kommentaren auf einer Website, Telefongesprächen, Videokonferenzen usw.;
  • Antworten auf Kunden- und Zufriedenheitsbefragungen;
  • Informationen über die Art, den Zeitpunkt und gegebenenfalls den Ort der Kommunikation;
  • Identitätsnachweise wie Kopien von amtlichen Ausweisen;
  • Randdaten der Kommunikation;
  • Aufzeichnungen von Telefon- und Videokonferenzgesprächen. Wenn wir eine solche Aufzeichnung erstellen, weisen wir Sie zu Beginn des Gesprächs darauf hin. Falls Sie mit der Aufzeichnung nicht einverstanden sind, haben Sie jederzeit die Möglichkeit, das Gespräch abzubrechen und mit uns auf andere Weise (z.B. per E-Mail) in Kontakt zu treten.

4.4 Verhaltens- und Transaktionsdaten

Wenn Sie mit uns in Kontakt treten, eine unserer Geschäftsstellen besuchen oder an einer unserer Veranstaltungen teilnehmen, können wir Verhaltens- und Transaktionsdaten erheben. Dazu gehören z.B. die folgenden Informationen, soweit sie uns personenbezogen vorliegen:

  • Über Ihre Teilnahme an unseren Veranstaltungen (z.B. Datum, Ort und Art der Veranstaltung);
  • Über Ihre Nutzung elektronischer Kommunikation von uns (z.B. ob und wann Sie eine E-Mail geöffnet oder einen Link angeklickt haben);
  • Über Ihre Nutzung unserer Wi-Fi-Netzwerke (z.B. Datum, Uhrzeit und Dauer der Verbindung, Standort des Wi-Fi-Netzwerks und Datenvolumen).

4.5 Technische Daten

Wenn Sie unsere Webseiten besuchen, erheben wir bestimmte technische Daten, z.B. Ihre IP-Adresse oder Protokolle, in denen wir die Nutzung unserer Systeme aufzeichnen (Log-Daten).

Aus technischen Daten können auch Verhaltensdaten, d.h. Informationen über Ihre Nutzung von Webseiten, erhoben werden. In der Regel können wir aus technischen Daten jedoch nicht ableiten, wer Sie sind, da wir nur technisch notwendige Cookies verwenden.

Technische Daten sind unter anderem:

  • Die IP-Adresse Ihres Gerätes und weitere Gerätekennungen (z.B. MAC-Adresse);
  • Identifikationsnummern, die Ihrem Gerät durch Cookies und ähnliche Technologien (z.B. Pixel Tags) zugewiesen werden;
  • Informationen über Ihr Gerät und dessen Konfiguration, z.B. Betriebssystem oder Spracheinstellungen;
  • Informationen über den von Ihnen verwendeten Browser und dessen Konfiguration;
  • Informationen über Ihren Internet-Provider;
  • Ihr ungefährer Standort und der Zeitpunkt der Nutzung;
  • Systemseitige Aufzeichnungen über Zugriffe und andere Vorgänge (Log-Daten);
  • Randdaten der Telekommunikation.

4.6 Bild- und Tonaufnahmen

Wir fertigen Foto-, Video- und Tonaufnahmen an, in oder auf denen Sie erscheinen können, z.B. wenn Sie an einer Veranstaltung oder einer Videokonferenz teilnehmen.

Bild- und Tonaufzeichnungen umfassen beispielsweise:

  • Fotos, Videos und Tonaufnahmen von Kundenveranstaltungen und öffentlichen Veranstaltungen;
  • Foto-, Video- und Tonaufnahmen von Kursen, Vorträgen, Schulungen etc.;
  • Aufzeichnungen von Telefon- und Videokonferenzen.

5 Herkunft personenbezogener Daten

Personenbezogene Daten geben Sie uns häufig selbst bekannt, z.B. wenn Sie uns solche Daten übermitteln, Kontakt mit unserem Büro aufnehmen oder mit uns kommunizieren. Dabei handelt es sich vor allem um Stamm-, Vertrags- und Kommunikationsdaten.

Die Bereitstellung personenbezogener Daten ist in der Regel freiwillig, d.h. Sie sind in der Regel nicht verpflichtet, uns personenbezogene Daten zur Verfügung zu stellen. Wir müssen jedoch diejenigen personenbezogenen Daten erheben und verarbeiten, die für die Abwicklung eines Vertragsverhältnisses und die Erfüllung der damit verbundenen Pflichten erforderlich oder gesetzlich vorgeschrieben sind, z.B. obligatorische Stamm- und Vertragsdaten. Andernfalls können wir den jeweiligen Vertrag nicht abschliessen oder fortführen.

Soweit dies erlaubt ist, entnehmen wir auch öffentlich zugänglichen Quellen (z.B. Betreibungsregister, Grundbücher, Handelsregister, Presse, Internet) gewisse Daten oder erhalten solche von unseren Kunden und deren Mitarbeitern, von Behörden (Schiedsgerichten) und sonstigen Dritten.

Wenn Sie uns Daten über andere Personen (z.B. Familienmitglieder, Mitarbeiter) übermitteln, gehen wir davon aus, dass Sie dazu berechtigt sind und dass diese Daten richtig sind. Bitte stellen Sie in diesem Fall sicher, dass die anderen Personen über diese Datenschutzerklärung informiert sind.

6 Zwecke der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten zu verschiedenen Zwecken. Diese sind in den folgenden Abschnitten beschrieben.

6.1 Kommunikation

Wir möchten mit Ihnen in Kontakt bleiben und auf Ihre individuellen Anliegen eingehen. Daher verarbeiten wir personenbezogene Daten zur Kommunikation mit Ihnen. Hierzu verwenden wir insbesondere Kommunikations- und Stammdaten und, soweit die Kommunikation einen Vertrag betrifft, Vertragsdaten. Wir können auch den Inhalt und den Versandzeitpunkt von Nachrichten auf der Grundlage von Verhaltens-, Transaktions- und anderen Daten personalisieren.

Der Zweck der Kommunikation umfasst insbesondere:

  • Beantwortung von Anfragen;
  • Kontaktierung bei Fragen;
  • Kundendienst und Kundenbetreuung;
  • Projektmitarbeit;
  • Qualitätssicherung und Schulung;
  • Andere Verarbeitungszwecke, soweit wir dazu mit Ihnen kommunizieren (z.B. Vertragsabwicklung).

6.2 Vertragsabwicklung

Wir möchten Ihnen den bestmöglichen Service bieten. Daher verarbeiten wir personenbezogene Daten im Zusammenhang mit der Begründung, Verwaltung und Abwicklung von Vertragsverhältnissen. Zur Vertragsabwicklung gehört auch die gegebenenfalls vereinbarte Personalisierung von Leistungen. Hierzu verwenden wir insbesondere Stamm-, Vertrags- und Kommunikationsdaten.

Der Zweck der Vertragsabwicklung umfasst grundsätzlich alles, was für den Abschluss, die Durchführung und ggf. die Abwicklung eines Vertrages erforderlich oder zweckmässig ist. Dazu gehören beispielsweise Verarbeitungen von Daten:

  • Um zu entscheiden, ob und wie (z.B. mit welchen Zahlungsmitteln) wir mit Ihnen einen Vertrag abschliessen (einschliesslich Bonitätsprüfung);
  • Um vertraglich vereinbarte Leistungen zu erbringen, z.B. Waren zu liefern, Dienstleistungen zu erbringen und Funktionen bereitzustellen (einschliesslich personalisierter Servicekomponenten);
  • Um Kundendienstleistungen zu erbringen und die Kundenzufriedenheit zu messen;
  • Um unsere Leistungen abzurechnen und für allgemeine Buchhaltungszwecke;
  • Um die Erbringung unserer Leistungen zu planen und vorzubereiten, z.B. für die Einsatzplanung unserer Mitarbeiter:innen;
  • Um die Eignung von Stellenbewerber:innen zu prüfen und ggf. zur Vorbereitung und zum Abschluss des Arbeitsvertrages;
  • Um zu prüfen, ob wir mit einem Unternehmen zusammenarbeiten wollen und können, und um dessen Leistung zu überwachen und zu bewerten;
  • Zur Vorbereitung und Durchführung gesellschaftsrechtlicher Vorgänge wie Unternehmenskäufe, -verkäufe und -verschmelzungen;
  • Zur Durchsetzung rechtlicher Ansprüche aus Verträgen (Inkasso, Prozessführung etc.);
  • Zur Verwaltung und Administration unserer IT- und sonstigen Ressourcen;
  • Um Daten im Rahmen von Aufbewahrungspflichten zu speichern;
  • Um Verträge zu kündigen und zu beenden.

6.3 Information

Wir verarbeiten personenbezogene Daten zur Beziehungspflege, z.B. um Ihnen eine Einladung zu einer Veranstaltung zukommen zu lassen.

Mitteilungen und Angebote können personalisiert werden, um Ihnen möglichst nur Informationen zukommen zu lassen, die für Sie von Interesse sein könnten. Hierzu verwenden wir insbesondere Stamm-, Vertrags- und Kommunikationsdaten.

6.4 Sicherheit und Prävention

Wir wollen Ihre und unsere Sicherheit gewährleisten und Missbrauch verhindern. Deshalb verarbeiten wir Personendaten auch aus Sicherheits- und Präventionsgründen, zur Gewährleistung der IT-Sicherheit, zur Verhinderung von Diebstahl, Betrug und Missbrauch sowie zu Beweiszwecken. Dies kann alle oben genannten Kategorien von Personendaten betreffen, insbesondere auch Verhaltens- und Transaktionsdaten sowie Bild- und Tonaufzeichnungen. Wir können diese Daten zu den genannten Zwecken erheben, auswerten und speichern.

Zu den Sicherheits- und Präventionszwecken gehören beispielsweise:

  • Die Verhinderung, Abwehr und Aufklärung von Cyber-Angriffen und Malware-Attacken;
  • Analysen und Tests unserer Netzwerke und IT-Infrastrukturen sowie System- und Fehlerprüfungen;
  • Zugangskontrollen zu elektronischen Systemen (z.B. Logins zu Benutzerkonten);
  • Physische Zugangskontrollen (z.B. Zugang zu Büroräumen);
  • Dokumentation und Erstellung von Sicherungskopien.

6.5 Erfüllung gesetzlicher Anforderungen

Wir wollen die Voraussetzungen zur Erfüllung gesetzlicher Anforderungen schaffen. Daher verarbeiten wir personenbezogene Daten auch zur Erfüllung rechtlicher Pflichten sowie zur Verhinderung und Aufdeckung von Straftaten. Dazu gehören beispielsweise die Befolgung von gerichtlichen oder behördlichen Verfügungen, Massnahmen zur Aufdeckung und Abklärung von Missbräuchen sowie die gesetzlich vorgeschriebene Aufbewahrung von Randdaten des Fernmeldeverkehrs (Mobile-Abo). Dies kann alle oben genannten Kategorien von Personendaten betreffen.

Die Erfüllung gesetzlicher Anforderungen umfasst insbesondere:

  • Die Entgegennahme und Bearbeitung von Beschwerden und sonstigen Meldungen;
  • Die Durchführung von internen Untersuchungen;
  • Die Sicherstellung von Compliance und Risikomanagement;
  • Die Weitergabe von Informationen und Dokumenten an Behörden, wenn wir dazu einen sachlichen Grund haben (z.B. weil wir selbst Geschädigte sind) oder gesetzlich dazu verpflichtet sind;
  • Die Mitwirkung bei externen Untersuchungen, z.B. durch eine Strafverfolgungs- oder Aufsichtsbehörde;
  • Die Gewährleistung der gesetzlich geforderten Datensicherheit;
  • Die Erfüllung von Auskunfts-, Informations- oder Meldepflichten, z.B. im Zusammenhang mit aufsichts- und steuerrechtlichen Vorgängen, für die Archivierung und zur Verhinderung, Aufdeckung und Aufklärung von Straftaten und sonstigen Ordnungswidrigkeiten;
  • Die gesetzlich geregelte Bekämpfung der Geldwäscherei und der Terrorismusfinanzierung.

In allen Fällen kann es sich um schweizerisches Recht handeln, aber auch um ausländische Vorschriften, denen wir unterstehen, sowie um Selbstregulierungen, Branchen- und andere Standards, die eigene «Corporate Governance» oder behördliche Weisungen.

6.6 Rechtswahrung

Wir wollen unsere Ansprüche durchsetzen und uns gegen Ansprüche anderer verteidigen können. Zum Zweck der Rechtswahrung verarbeiten wir je nach Konstellation unterschiedliche Personendaten sowie Angaben zu Vorgängen, die zu einer Auseinandersetzung geführt haben oder führen könnten.

Der Zweck der Rechtswahrung umfasst insbesondere:

  • Die Klärung und Durchsetzung unserer Ansprüche, wozu auch Ansprüche mit uns verbundener Unternehmen und unserer Vertrags- und Geschäftspartner gehören können;
  • Die Abwehr von Ansprüchen gegen uns, unsere Mitarbeiterinnen und Mitarbeiter, mit uns verbundene Unternehmen und unsere Vertrags- und Geschäftspartner;
  • Die Klärung von Prozessaussichten und anderen rechtlichen, wirtschaftlichen und sonstigen Fragen;
  • Die Teilnahme an Verfahren vor Gerichten und Behörden im In- und Ausland.

Wir können beispielsweise Beweise sichern oder Unterlagen bei einer Behörde einreichen. Es kann auch sein, dass wir von Behörden aufgefordert werden, Unterlagen und Datenträger, die Personendaten enthalten, herauszugeben.

6.7 Firmeninterne Verwaltung und Unterstützung

Wir wollen unsere internen Prozesse effizient gestalten. Daher verarbeiten wir personenbezogene Daten auch zur internen Verwaltung der mtrail-Gesellschaften. Dies betrifft insbesondere Stammdaten, Vertragsdaten und Kommunikationsdaten.

Die interne Verwaltung umfasst insbesondere:

  • Die IT- und Immobilienverwaltung;
  • Das Rechnungswesen;
  • Die Archivierung von Daten und die Verwaltung unseres Archivs;
  • Die Aus- und Weiterbildung, z.B. wenn wir Aufzeichnungen von Telefon-, Video- oder sonstiger Kommunikation auswerten;
  • Die zentrale Speicherung und Verwaltung von Daten, die von mehreren Gesellschaften von mtrail genutzt werden;
  • Die Prüfung oder Durchführung von gesellschaftsrechtlichen Transaktionen wie Unternehmenskäufen, -verkäufen und -zusammenschlüssen;
  • Die Weiterleitung von Anfragen an die zuständigen Stellen, z.B. wenn Sie eine Anfrage an eine mtrail Gesellschaft richten, die eine andere Gesellschaft betrifft;
  • Den Verkauf von Forderungen, wobei wir dem Erwerber beispielsweise Informationen über den Grund und die Höhe der Forderung sowie gegebenenfalls über die Bonität und das Verhalten des Schuldners übermitteln;
  • Generell die Überprüfung und Verbesserung interner Prozesse.

Wie jeder Unternehmensverbund hat auch mtrail ein übergeordnetes Interesse an der erfolgreichen Geschäftstätigkeit ihrer Gesellschaften, und die Gesellschaften haben ihrerseits ein Interesse an ihrer eigenen Geschäftstätigkeit und ihren eigenen Verarbeitungszwecken. Wir können daher personenbezogene Daten auch an andere Gesellschaften von mtrail übermitteln, um deren eigene Verarbeitungszwecke gemäss dieser Datenschutzerklärung im Gesamtinteresse von mtrail zu unterstützen.

7 Rechtsgrundlagen der Verarbeitung von Personendaten

Je nach Zweck stützen wir uns bei der Verarbeitung von Personendaten auf unterschiedliche Rechtsgrundlagen. Wir können Personendaten insbesondere verarbeiten, wenn dies:

  • Für die Erfüllung eines Vertrags mit der betroffenen Person oder für vorvertragliche Massnahmen (z.B. Prüfung eines Vertragsantrags) erforderlich ist;
  • Zur Wahrung berechtigter Interessen erforderlich ist, z.B. wenn die Datenverarbeitung ein wesentlicher Bestandteil unserer Geschäftstätigkeit ist;
  • Auf einer Einwilligung beruht;
  • Zur Erfüllung in- oder ausländischer Rechtsvorschriften erforderlich ist.

Ein berechtigtes Interesse haben wir insbesondere an der Verarbeitung zu den oben beschriebenen Zwecken sowie an der später beschriebenen Offenlegung von Daten und den damit jeweils verbundenen Zwecken. Die berechtigten Interessen umfassen jeweils unsere eigenen Interessen und die Interessen Dritter.

Unter berechtigtes Interesse fällt beispielsweise das Interesse:

  • An einer guten Kundenbetreuung, Kontaktpflege und Kommunikation mit Kund:innen auch ausserhalb eines Vertragsverhältnisses;
  • An der Verbesserung und Neuentwicklung von Produkten und Dienstleistungen;
  • An der gegenseitigen Unterstützung der mtrail-Gesellschaften bei ihren Aktivitäten und Zielen;
  • Am Kampf gegen Betrug und an der Vorbeugung und Untersuchung von Straftaten;
  • Am Schutz von Kund:innen, anderen Personen und Daten, Geheimnissen und Vermögenswerten von mtrail;
  • An der Gewährleistung der IT-Sicherheit, insbesondere im Zusammenhang mit der Nutzung von Websites und sonstiger IT-Infrastruktur;
  • An der Sicherstellung und Organisation des Geschäftsbetriebs, einschliesslich des Betriebs und der Weiterentwicklung von Websites und anderen Systemen;
  • An der Führung und Entwicklung des Unternehmens;
  • Am Kauf und Verkauf von Unternehmen, Unternehmensteilen und sonstigen Vermögensgegenständen;
  • An der Durchsetzung oder Abwehr von Rechtsansprüchen
  • An der Einhaltung von schweizerischem und ausländischem Recht sowie von internen Vorschriften.

8 Weitergabe von personenbezogenen Daten

Ihre Personendaten können innerhalb der mtrail-Unternehmensstruktur weitergegeben und genutzt werden. Ausserhalb von mtrail werden sie nur an ausgewählte Dienstleister weitergegeben. Die Verarbeitung personenbezogener Daten erfolgt stets in unserem Auftrag und nach unseren Weisungen.

Wir geben Ihre Personendaten nur an vertrauenswürdige Dritte weiter, wenn dies zur Erbringung unserer Leistung notwendig ist, wenn diese Dritten für uns eine Dienstleistung erbringen, wenn wir dazu gesetzlich oder behördlich verpflichtet sind oder wenn wir ein überwiegendes Interesse an der Weitergabe haben. Wir werden Personendaten ebenfalls an Dritte weitergeben, wenn Sie dazu Ihre Einwilligung erteilt oder uns dazu aufgefordert haben.

8.1 Innerhalb von mtrail

Wir können personenbezogene Daten, die wir von Ihnen oder aus Drittquellen erhalten, an andere Unternehmen von mtrail weitergeben. Eine solche Weitergabe kann der Unternehmensverwaltung oder der Unterstützung der betreffenden Unternehmen und ihrer Verarbeitungszwecke dienen, z.B. der Entwicklung und Verbesserung von Produkten und Dienstleistungen oder der Durchführung von Bonitätsprüfungen oder Bemühungen zur Verhinderung von Diebstahl, Betrug und Missbrauch. Die erhaltenen personenbezogenen Daten können von den betreffenden Unternehmen gegebenenfalls auch mit bereits vorhandenen personenbezogenen Daten abgeglichen und verknüpft werden.

Bei der internen Weitergabe kann es sich z.B. um folgende Daten handeln:

  • Die oben genannten Kategorien von personenbezogenen Daten zur Verwaltung und Abwicklung von Vertragsverhältnissen, insbesondere im Zusammenhang mit Produkten und Dienstleistungen, die die Leistungen mehrerer mtrail-Unternehmen umfassen;
  • Stamm-, Vertrags-, Kommunikations-, Verhaltens- und Transaktionsdaten, Erkenntnisse aus Kundenbefragungen, Erhebungen und Studien sowie Bild- und Tonaufzeichnungen für Zwecke der Marktforschung und Produktentwicklung, soweit ein Personenbezug dieser Daten erforderlich ist;
  • Stamm-, Vertrags-, Kommunikations-, Verhaltens- und Transaktionsdaten sowie Bild- und Tonaufzeichnungen zur bedarfsgerechten Gestaltung und Personalisierung von Angeboten, Kommunikations- und Marketingmassnahmen;
  • Stamm-, Vertrags-, Kommunikations-, Verhaltens- und Transaktionsdaten sowie Präferenzdaten zur Betrugs- und Missbrauchsprävention und zur Bonitätsprüfung (z.B. im Rahmen des Rechnungskaufs);
  • Stamm-, Verhaltens- und Transaktionsdaten sowie Bild- und Tonaufzeichnungen zur Diebstahlprävention und zu Beweiszwecken;
  • Sicherheitsrelevante Daten für Sicherheitszwecke und zur Erfüllung gesetzlicher Anforderungen;
  • Daten zur Unterstützung der Rechtsdurchsetzung.

8.2 Ausserhalb von mtrail

Wir können personenbezogene Daten an Unternehmen ausserhalb von mtrail weitergeben, wenn wir deren Dienstleistungen in Anspruch nehmen. In der Regel verarbeiten diese Dienstleister die Personendaten in unserem Auftrag als sogenannte «Auftragsverarbeiter». Unsere Auftragsverarbeiter sind verpflichtet, die Personendaten ausschliesslich nach unseren Weisungen zu verarbeiten und angemessene Massnahmen zur Datensicherheit zu treffen. Durch die Auswahl der Dienstleister und geeignete vertragliche Vereinbarungen stellen wir sicher, dass der Datenschutz während der gesamten Verarbeitung Ihrer Personendaten gewährleistet ist.

Die Datenweitergabe an Auftragsverarbeiter erfolgt z.B. für folgende Dienstleistungen und Zwecke:

  • Versand und Logistik, z.B. für den Versand bestellter Waren;
  • Werbung und Marketing, z.B. für den Versand von Mitteilungen und Informationen;
  • Unternehmensverwaltung, z.B. für die Buchhaltung oder Vermögensverwaltung;
  • Zahlungsdienste;
  • Bonitätsauskünfte, z.B. für den Kauf auf Rechnung;
  • Inkassodienstleistungen;
  • Versicherungsdienstleistungen;
  • Betrugspräventionsdienste, die Zahlungsdienstleister in eigener Verantwortung durchführen, z.B. PayPal Fraud Protection. Diese Verfahren kommen nur dann zum Einsatz, wenn Sie bereits Kunde des jeweiligen Zahlungsdienstleisters sind. Nähere Informationen finden Sie dann in der Datenschutzerklärung des Anbieters.
  • IT-Dienstleistungen, z.B. in den Bereichen Datenspeicherung (Hosting), Cloud-Dienste, Versand von E-Mail-Newslettern, Datenanalyse und -veredelung;
  • Beratungsdienstleistungen, z.B. von Steuerberater:innen, Rechtsanwält:innen, Unternehmensberater:innen oder Berater:innen im Bereich der Personalgewinnung und -vermittlung.

Darüber hinaus ist es möglich, dass wir personenbezogene Daten an Dritte auch für deren eigene Zwecke weitergeben, z.B. wenn wir hierzu gesetzlich verpflichtet oder berechtigt sind. In diesen Fällen ist der Empfänger der Daten datenschutzrechtlich eigenständig verantwortlich.

Dazu gehören zum Beispiel folgende Fälle:

  • Die Abtretung von Forderungen an andere Unternehmen, z.B. Inkassounternehmen;
  • Die Prüfung oder Durchführung gesellschaftsrechtlicher Vorgänge wie Unternehmenskäufe, -verkäufe und -zusammenschlüsse;
  • Die Zusammenarbeit mit Gerichten und Behörden im In- und Ausland, z.B. Strafverfolgungsbehörden bei Verdacht auf strafbare Handlungen;
  • Massnahmen, um einer gerichtlichen Verfügung oder behördlichen Anordnung nachzukommen, um Rechtsansprüche geltend zu machen oder abzuwehren oder aus anderen rechtlichen Gründen und Notwendigkeiten. In diesem Zusammenhang können wir personenbezogene Daten auch an andere Verfahrensbeteiligte weitergeben.

9 Datenübermittlung ins Ausland

Wir verarbeiten Ihre Personendaten in unserem Verantwortungsbereich in der Regel nur in der Schweiz und in der EU sowie im Europäischen Wirtschaftsraum (EWR). Mit Dienstleistern, die in unserem Auftrag Personendaten verarbeiten, schliessen wir Verträge, die diese verpflichten, den Datenschutz zu gewährleisten. Unsere Dienstleister befinden sich in der Regel in der Schweiz und in der EU / im EWR.

Gewisse Personendaten können auch in die USA oder in Ausnahmefällen in andere Länder weltweit übermittelt werden. Sollte eine Datenübermittlung in andere Länder, die über kein angemessenes Datenschutzniveau verfügen, erforderlich sein, erfolgt dies nach vorheriger Risikoeinschätzung und auf Basis der EU-Standardvertragsklauseln oder aufgrund der Tatsache, dass dafür eine ausdrückliche Einwilligung der betroffenen Person(en) vorliegt oder die Übermittlung für die Abwicklung oder Erfüllung eines Vertrages mit der/den oder im Interesse der betroffenen Person(en) oder für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.

10 Datensicherheit

Wir treffen angemessene Sicherheitsmassnahmen technischer und organisatorischer Art, um die Sicherheit Ihrer personenbezogenen Daten zu gewährleisten und sie vor unbefugter oder unrechtmässiger Verarbeitung, vor Verlust, unbeabsichtigter Veränderung, unberechtigter Offenlegung oder unberechtigtem Zugriff zu schützen. Wie alle Unternehmen können jedoch auch wir Verletzungen der Datensicherheit nicht mit letzter Sicherheit ausschliessen; gewisse Restrisiken sind unvermeidbar.

Zu den Sicherheitsmassnahmen technischer Art gehören z.B. Verschlüsselung und Pseudonymisierung von Daten, Protokollierung, Zugriffsbeschränkungen und Aufbewahrung von Sicherheitskopien. So findet beim Aufruf unserer Website das SSL-Verschlüsselungsverfahren Anwendung.

Sicherheitsmassnahmen organisatorischer Art sind z.B. Anweisungen an unsere Mitarbeiter, Schulungen und Kontrollen.

Auch unsere Auftragsverarbeiter verpflichten wir zu angemessenen technischen und organisatorischen Sicherheitsmassnahmen.

11 Umgang mit besonders schützenswerten Personendaten

Bestimmte Arten von Personendaten gelten aus datenschutzrechtlicher Sicht als «besonders schützenswert», z.B. Gesundheitsdaten und biometrische Merkmale. Je nach Konstellation können die oben genannten Kategorien von Personendaten auch solche besonders schützenswerten Daten umfassen. Wir verarbeiten besonders schützenswerte Personendaten in der Regel nur, wenn dies für die Erbringung einer Dienstleistung erforderlich ist, Sie uns diese Daten von sich aus bekannt gegeben haben oder Sie in die Verarbeitung eingewilligt haben. Darüber hinaus dürfen wir besonders schützenswerte Personendaten verarbeiten, wenn dies zur Rechtsverteidigung oder zur Erfüllung von in- oder ausländischen Gesetzen erforderlich ist, die Daten von der betroffenen Person offensichtlich öffentlich bekannt gegeben wurden oder das anwendbare Recht die Verarbeitung zulässt.

Besonders schützenswerte Personendaten können wir beispielsweise verarbeiten, wenn Sie sich auf eine Stelle bewerben und dabei Angaben zu Ihrem Gesundheitszustand, zu einer Gewerkschaftszugehörigkeit oder zu Vorstrafen und strafrechtlichen Verurteilungen machen.

12 Dauer der Verarbeitung und Speicherung

Wir verarbeiten und speichern Ihre personenbezogenen Daten:

  • Solange es zur Erreichung des Zweckes der Verarbeitung oder damit verbundener Zwecke erforderlich ist, bei Verträgen in der Regel mindestens für die Dauer des Vertragsverhältnisses;
  • Solange wir ein berechtigtes Interesse an der Speicherung haben. Dies kann insbesondere der Fall sein, wenn wir personenbezogene Daten zur Geltendmachung oder Abwehr von Rechtsansprüchen, zu Archivierungszwecken und zur Gewährleistung der IT-Sicherheit benötigen;
  • Solange sie einer gesetzlichen Aufbewahrungspflicht unterliegen. Für bestimmte Daten gilt beispielsweise eine Aufbewahrungsfrist von zehn Jahren. Für andere Daten gelten kürzere Aufbewahrungsfristen, z.B. für Aufzeichnungen bestimmter Vorgänge im Internet (Log-Daten).

Wir orientieren uns an folgenden Aufbewahrungsfristen, können aber im Einzelfall davon abweichen:

  • Verträge: Wir speichern Stamm- und Vertragsdaten in der Regel zehn Jahre ab der letzten Vertragsaktivität bzw. ab Vertragsende. Diese Frist kann länger sein, soweit dies zu Beweiszwecken, aufgrund gesetzlicher oder vertraglicher Bestimmungen oder aus technischen Gründen erforderlich ist. Transaktionsdaten im Zusammenhang mit Verträgen werden in der Regel zehn Jahre aufbewahrt.
  • Technische Daten: Die Speicherdauer von Cookies beträgt in der Regel zwischen wenigen Tagen und zwei Jahren, sofern sie nicht unmittelbar nach Ende der Sitzung gelöscht werden.
  • Kommunikationsdaten: E-Mails, Mitteilungen über Kontaktformulare und schriftliche Korrespondenz werden in der Regel zehn Jahre aufbewahrt.
  • Bild- und Tonaufzeichnungen: Die Aufbewahrungsdauer variiert je nach Zweck. Sie reicht bis zu mehreren Jahren für Berichte über Veranstaltungen mit Bildern.
  • Bewerbungen: Bewerbungsdaten löschen wir in der Regel innerhalb von sechs Monaten nach Abschluss des Bewerbungsverfahrens. Mit Ihrem Einverständnis können wir Ihre Bewerbung für eine eventuelle spätere Einstellung aufbewahren.

In bestimmten Fällen holen wir Ihre Einwilligung ein, wenn wir personenbezogene Daten über die genannten Fristen hinaus speichern wollen, z.B. bei Stellenbewerbungen, die wir offen halten wollen.

Nach Ablauf der jeweiligen Fristen löschen oder anonymisieren wir Ihre personenbezogenen Daten.

13 Ihre Rechte bezüglich der Verarbeitung Ihrer Daten

Sie haben das Recht, der Verarbeitung Ihrer Daten zu widersprechen, insbesondere wenn wir Ihre Personendaten aufgrund eines berechtigten Interesses verarbeiten und die weiteren anwendbaren Voraussetzungen erfüllt sind.

Soweit die jeweils geltenden Voraussetzungen erfüllt sind und kein gesetzlicher Ausnahmetatbestand greift, haben Sie ferner folgende Rechte:

  • Das Recht, Auskunft über Ihre bei uns gespeicherten personenbezogenen Daten zu verlangen;
  • Das Recht auf Berichtigung unrichtiger oder unvollständiger personenbezogener Daten;
  • Das Recht auf Löschung oder Anonymisierung Ihrer personenbezogenen Daten;
  • Das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen;
  • Das Recht, bestimmte personenbezogene Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten;
  • Das Recht auf Widerruf einer Einwilligung mit Wirkung für die Zukunft, soweit die Verarbeitung Ihrer Daten auf einer Einwilligung beruht;
  • Das Recht auf Beschwerde bei einer zuständigen Aufsichtsbehörde. Die zuständige Datenschutzbehörde der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (http://www.edoeb.admin.ch).

Bitte beachten Sie, dass die oben genannten Rechte im Einzelfall eingeschränkt oder ausgeschlossen sein können, z.B. wenn Zweifel an der Identität bestehen, wenn wir zur Aufbewahrung gewisser Daten verpflichtet sind oder dies zum Schutz anderer Personen, zur Wahrung berechtigter Interessen oder zur Erfüllung rechtlicher Verpflichtungen sowie zur Geltendmachung von Ansprüchen erforderlich ist.

14 Kontakt für Fragen

Wenn Sie Fragen zu dieser Datenschutzerklärung oder weitergehende Fragen zum Thema Datenschutz oder zur Ausübung Ihrer oben genannten Rechte haben, wenden Sie sich bitte an die am Anfang dieses Dokuments angegebenen Adressen oder per E-Mail an datenschutz@mtrail.ch.

15 Aktualität und Änderung dieser Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit ändern oder anpassen. Die aktuelle Datenschutzerklärung kann auf https://www.mtrail.ch/de/datenschutz.html abgerufen werden.



Bern, 30. Juli 2023