Datenschutzerklärung

Mit dieser Datenschutzerklärung möchten wir, die Ontrex AG und die Ontrex GmbH (beide nachfolgend "Ontrex") Sie darüber informieren, wie wir personenbezogene Daten im Rahmen unserer jeweiligen Geschäftsbeziehung mit Ihnen verarbeiten und schützen und Sie über Ihre Rechte im Zusammenhang mit solchen Daten aufklären. Daten und deren Schutz gehören zum Kern unseres Geschäfts. Sowohl Ontrex als auch unsere Mitarbeiter, Auftragnehmer und Dienstleister verpflichten sich, Ihnen Transparenz und Wahlmöglichkeiten zu bieten, wenn es um personenbezogene Daten geht.

Bestimmte von Ontrex angebotene Produkte und Dienstleistungen können zusätzliche spezifische Datenschutzhinweise haben, in denen beschrieben wird, wie wir mit personenbezogenen Daten für diese Produkte und Dienstleistungen umgehen. Sollte ein anderer Datenschutzhinweis im Widerspruch zu dieser Datenschutzerklärung stehen, gehen die spezifischen Regelungen vor.

Als international ausgerichtetes IT-Unternehmen kann neben den schweizerischen Datenschutzbestimmungen (DSG und Ausführungsbestimmungen) auch die EU-Datenschutz-Grundverordnung (DSGVO) für uns von Bedeutung sein. In der vorliegenden Datenschutzerklärung haben wir einen einheitlichen Standard unter Berücksichtigung der jeweils massgeblichen gesetzlichen Grundlagen geschaffen.

Übersicht
Ihre Geschäftsbeziehungen mit Ontrex kann vielschichtig sein und je nach konkreter Beziehung, die Sie mit uns unterhalten, kommen verschiedene Vorgaben zur Anwendung. Die vorliegende Datenschutzerklärung ist wie folgt gegliedert:
1. Nutzung unserer Webseite
1.1. Datenaufzeichnung und Logfiles
1.2. Verwendung von Cookies
1.3. Newsletter
1.4. Kontaktformular und E-Mail-Kontakt
1.5. Bewerbungen
1.6. Webanalyse durch Google Analytics
1.7. Weitere Arten der Informationsbereitstellung
2. Vertragsbeziehungen mit Geschäftspartnern
2.1. Beschreibung und Umfang der Datenverarbeitung
2.2. Zwecke der Datenverarbeitung
2.3. Im Speziellen: Nutzung von Microsoft 365
3. Schutz der Daten
3.1. Schutzmassnahmen
3.2. Weitergabe von Daten an Dritte, Auftragsbearbeiter und ins Ausland 
3.3. Speicherung / Dauer
3.4. Massnahmen bei Verstössen gegen personenbezogene Daten
4. Rechte der betroffenen Person
5. Abänderung der vorliegenden Datenschutzerklärung
6. Kontakt

1. Nutzung unserer Webseite
1.1. Datenaufzeichnung und Logfiles
Wenn Sie unsere Webseite aufrufen, erfasst unser System automatisiert Daten und Informationen vom aufrufenden Rechner/Client. Folgende Daten werden hierbei erhoben:

  • Informationen über den Browsertyp und die verwendete Version
  • Das Betriebssystem des Nutzers
  • Die IP-Adresse des Nutzers
  • Datum und Uhrzeit des Zugriffs
  • Webseiten, von denen das System des Nutzers auf unsere Internetseite gelangt
  • Aufgerufene Seite auf der Webseite und Verweildauer
  • Die IP-Adressen werden in den Logfiles unseres Systems gespeichert. Nicht hiervon betroffen sind die anderen Daten, die die Zuordnung der Daten zu einem Nutzer ermöglichen. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Webseite an den Rechner des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse für die Dauer der Sitzung gespeichert bleiben. Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der Webseite sicherzustellen. Zudem dienen uns die Daten zur Optimierung der Webseite und zur Sicherstellung der Sicherheit unserer IT-Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zu-sammenhang nicht statt. In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverar-beitung.
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erfor-derlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der Webseite ist dies der Fall, wenn die jeweilige Sitzung beendet ist. Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist.

1.2. Verwendung von Cookies
Cookies tragen dazu bei, Ihren Besuch auf unserer Website einfacher, angenehmer und effizienter zu gestalten. 
Ein Cookie ist eine Datei, die eine Kennung (eine Folge von Buchstaben und Zahlen) enthält, die von einem Webserver an einen Webbrowser gesendet und von diesem gespeichert wird. Die Kennung wird dann jedes Mal an den Server zurückgesendet, wenn der Browser eine Seite vom Server anfordert.
Notwendige Cookies helfen dabei, eine Webseite nutzbar zu machen, indem sie Grundfunktionen wie Seitennavigation und Zugriff auf sichere Bereiche der Webseite ermöglichen. Die Webseite kann ohne diese Cookies nicht richtig funktionieren.
Bei Cookies kann es sich entweder um "dauerhafte" Cookies oder um "Sitzungscookies" handeln: Ein dauerhaftes Cookie wird von einem Webbrowser gespeichert und bleibt bis zu seinem festgelegten Ab-laufdatum gültig, es sei denn, er wird vom Benutzer vor dem Ablaufdatum gelöscht; ein Sitzungscookie hingegen läuft am Ende der Benutzersitzung ab, wenn der Webbrowser geschlossen wird.
Bei den meisten Browsern können Sie die Annahme von Cookies verweigern und Cookies löschen. Die Methoden dazu sind von Browser zu Browser und von Version zu Version unterschiedlich. In der Regel können Sie Ihren Browser so einstellen, dass er Sie benachrichtigt, wenn Sie ein Cookie erhalten, so dass Sie entscheiden können, ob Sie es annehmen wollen oder nicht. Sie können Cookies auch deakti-vieren. Wenn Sie jedoch unsere Cookies nicht akzeptieren, können Sie möglicherweise nicht alle Funkti-onen Ihres Browsers nutzen. Darüber hinaus können Sie die Installation und Speicherung von Cookies durch Ihre Browsereinstellungen verhindern oder beenden, indem Sie ein Opt-out Browser Add-on herun-terladen und installieren.
Die über Cookies erhobenen Daten der Nutzer werden durch technische Vorkehrungen pseudonymisiert. Daher ist eine Zuordnung der Daten zum aufrufenden Nutzer nicht mehr möglich. Die Daten werden nicht gemeinsam mit sonstigen personenbezogenen Daten der Nutzer gespeichert.
Der Zweck der Verwendung technisch notwendiger Cookies ist, die Nutzung von Websites für die Nutzer zu vereinfachen. Einige Funktionen unserer Internetseite können ohne den Einsatz von Cookies nicht angeboten werden. Für diese ist es erforderlich, dass der Browser auch nach einem Seitenwechsel wie-dererkannt wird.
Für folgende Anwendungen benötigen wir Cookies:

  • Übernahme von Spracheinstellungen
  • Übernahme von Filtereinstellungen

Die durch technisch notwendige Cookies erhobenen Nutzerdaten werden nicht zur Erstellung von Nutzerprofilen verwendet.
Die Verwendung von technisch nicht notwendigen Cookies erfolgt zu dem Zweck, die Qualität unserer Webseite und ihre Inhalte zu erhalten und zu verbessern. Durch diese Cookies erfahren wir, wie die Webseite genutzt wird und können so unser Angebot stetig optimieren. In den genannten Zwecken liegt auch unser berechtigtes Interesse in der Verarbeitung der personenbezogenen Daten.

1.3. Newsletter
Auf unserer Webseite oder durch anderweitige Zustimmung Ihrerseits besteht die Möglichkeit, einen oder mehrere kostenfreien Newsletter zu abonnieren. Wir versenden an unsere bestehenden und potenziellen Kunden in unregelmässigen Abständen Informationen über unsere Produkte und Lösungen aber auch allgemeine Hinweise oder Handlungsempfehlungen etwa im Bereich Security. Für den Versand und die Administration von Newslettern bedienen wir uns externer Anbieter.
Bei der Anmeldung zum Newsletter werden folgende Daten aufgenommen:

  • Vor- und Nachname
  • E-Mail Adresse
  • Unternehmen
  • Bevorzugte Sprache

Es erfolgt im Zusammenhang mit der Datenverarbeitung für den Versand von Newslettern keine Weiter-gabe der Daten an Dritte. Die Daten werden ausschliesslich für den Versand des Newsletters verwendet. Die Daten im Zusammenhang mit den Newslettern werden zudem ausschliesslich auf eigenen Servern der Ontrex in der Schweiz gespeichert.
Die Erhebung Ihrer E-Mail-Adresse dient dazu, den Newsletter zuzustellen. Die Erhebung sonstiger personenbezogener Daten im Rahmen des Anmeldevorgangs dient dazu, einen Missbrauch der Dienste oder der verwendeten E-Mail-Adresse zu verhindern. Während der Nutzung des Newsletters können wir für statistische Zwecke Informationen dazu erheben, welche Links Sie im Newsletter anklicken.
Wir bearbeiten Ihre bei der Anmeldung zum Newsletter erhobenen Personendaten gestützt auf Ihre Einwilligung.
Die Daten des Nutzers werden so lange gespeichert, wie das Abonnement des Newsletters aktiv ist.
Das Abonnement des Newsletters kann durch den betroffenen Nutzer jederzeit gekündigt werden. Zu diesem Zweck findet sich in jedem Newsletter ein entsprechender Link. Hierdurch wird ebenfalls ein Widerruf der Einwilligung der Speicherung der während des Anmeldevorgangs erhobenen personenbezogenen Daten ermöglicht.

1.4. Kontaktformular und E-Mail-Kontakt
Auf unserer Webseite ist ein Kontaktformular für Veranstaltungen, Serviceanfragen und die allgemeine Kontaktaufnahme vorhanden. Nimmt ein Nutzer diese Möglichkeit wahr, so werden die in der Eingabemaske eingegeben Daten an uns übermittelt und gespeichert. Diese Daten sind:

  • Vor- und Nachname
  • E-Mail Adresse
  • Telefon (freiwillig)
  • Unternehmen (freiwillig)
  • Strasse / Nr. (freiwillig)
  • PLZ / Ort (freiwillig)
  • Hintergrund und Fragestellung Ihrer Kontaktaufnahme (freiwillig)

Im Zeitpunkt der Absendung der Nachricht werden zudem folgende Daten gespeichert:

  • IP-Adresse
  • Datum und Uhrzeit des Absendevorgangs
  • Seite, auf welcher das Formular ausgefüllt wurde

Alternativ ist eine Kontaktaufnahme über die bereitgestellten E-Mail-Adressen möglich. In diesem Fall werden die von Ihnen mit E-Mail übermittelten personenbezogenen Daten gespeichert.
Sie sind für die Mitteilung und/oder die übermittelten Inhalte verantwortlich, die Sie uns zusenden. Wir empfehlen Ihnen, keine vertraulichen Daten zu übermitteln. Personenbezogene Daten werden nur erhoben, wenn Sie uns diese freiwillig zur Verfügung stellen.
Die Verarbeitung der personenbezogenen Daten aus der Eingabemaske bzw. aus der von Ihnen uns zugesendeten E-Mail dient uns allein zur Bearbeitung der Kontaktaufnahme. Die sonstigen während des Absendevorgangs verarbeiteten personenbezogenen Daten dienen dazu, einen Missbrauch des Kontakt-formulars zu verhindern und die Sicherheit unserer informationstechnischen Systeme sicherzustellen. Darin liegt auch unser berechtigtes Interesse an der Verarbeitung der Daten.
Zielt die Kontaktaufnahme auf den Abschluss eines Vertrages ab, so ist die Datenverarbeitung auch zwecks Durchführung vorvertraglicher Massnahmen sowie zur Erfüllung und Abwicklung des Vertrages erforderlich.
Um die Einhaltung unserer vertraglichen und gesetzlichen Verpflichtungen zu gewährleisten, benötigen wir Zugang zur gesamten Nutzerkommunikation. Folglich werden die Personendaten aus dem Kontaktformular oder die Personendaten, die per E-Mail gesendet werden, in der Regel erst nach zehn Jahren gelöscht.

1.5. Bewerbungen
Wenn Sie per Post oder E-Mail ein Bewerbungsschreiben einreichen, verarbeiten wir die von Ihnen zur Verfügung gestellten personenbezogenen Daten, um Ihre Bewerbung zu prüfen und gegebenenfalls mit Ihnen in diesem Zusammenhang Kontakt aufzunehmen.
Die rechtliche Grundlage für die Verarbeitung Ihrer personenbezogenen Daten liegt in vorvertraglichen Massnahmen und der Durchführung eines Vertrages sowie in unserem berechtigten Interesse. Sofern wir uns bei einer Datenverarbeitung auf das berechtigte Interesse abstützen, können Sie dieser Datenverarbeitung jederzeit widersprechen.
Kommt es nach den vorvertraglichen Massnahmen nicht zum Abschluss eines Arbeits- oder anderen Vertrages, werden die uns zugestellten physischen und elektronischen Unterlagen vernichtet, ausser wir haben Ihre Zustimmung, diese Daten für eine allfällige spätere Kontaktnahme aufzubewahren.

1.6. Webanalyse durch Google Analytics
Informationen des Drittanbieters Google:
Adresse: Google Dublin, Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland
Nutzerbedingungen: www.google.com/analytics/terms/de.html
Datenschutz: www.google.com/intl/de/analytics/learn/privacy.html
Datenschutzerklärung: www.google.de/intl/de/policies/privacy
Wir nutzen auf unserer Webseite Google Analytics. Google Irland (mit Sitz in Irland) ist der Anbieter des Dienstes "Google Analytics" und fungiert als unser Auftragsbearbeiter. Google Irland stützt sich hierfür auf Google LLC (mit Sitz in den USA) als ihr Auftragsbearbeiter (beide "Google"). Google verfolgt dabei durch Cookies das Verhalten der Besucher auf unserer Website (Dauer, Häufigkeit der aufgerufenen Seiten, geographische Herkunft des Zugriffs etc.) und erstellt für uns auf dieser Grundlage Berichte über die Nut-zung unserer Website. Obwohl wir annehmen können, dass die Informationen, welche wir mit Google teilen, für Google keine Personendaten sind, ist es möglich, dass Google von diesen Daten für eigene Zwecke Rückschlüsse auf die Identität der Besucher ziehen, personenbezogene Profile erstellen und diese Daten mit den Google-Konten dieser Personen verknüpfen kann. Falls Sie der Nutzung von Google Analytics zustimmen, willigen sie explizit einer solchen Bearbeitung zu, welche auch die Übermittlung von Personendaten (insbesondere Nutzungsdaten zur Website und App, Geräteinformationen und individuelle IDs) in die USA und in andere Staaten umfasst.
Die Verarbeitung der Daten ermöglicht uns eine Analyse des Surfverhaltens unserer Nutzer. Wir sind durch die Auswertung der gewonnenen Daten in der Lage, Informationen über die Nutzung der einzelnen Komponenten unserer Webseite zusammenzustellen. Dies hilft uns dabei unsere Webseite und deren Nutzerfreundlichkeit stetig zu verbessern. In diesen Zwecken liegt auch unser berechtigtes Interesse in der Verarbeitung der Daten. Durch die Anonymisierung der IP-Adresse wird dem Interesse der Nutzer an deren Schutz personenbezogener Daten hinreichend Rechnung getragen.
Die Daten werden gelöscht, sobald sie für unsere Aufzeichnungszwecke nicht mehr benötigt werden. Sie haben als Nutzer die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstel-lungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Webseite deaktiviert, können möglicherweise nicht mehr alle Funktionen der Webseite vollumfänglich genutzt werden.

1.7. Weitere Arten der Informationsbereitstellung
Teilen Sie personenbezogene Daten auf anderen Kanälen mit uns (beispielsweise Kiteworks), bestimmen Sie als Nutzer direkt, welche Daten Ontrex zur Verfügung gestellt werden.
Wir bearbeiten Ihre über andere Kanäle bereitgestellten und erhobenen Personendaten gestützt auf Ihre Einwilligung.

2. Vertragsbeziehungen mit Geschäftspartnern
2.1. Beschreibung und Umfang der Datenverarbeitung
Wir bearbeiten in erster Linie Personendaten, die wir im Rahmen unserer Vertragsbeziehungen mit unseren Geschäftspartnern direkt erhalten. Zudem können wir Daten aus öffentlich zugänglichen Quellen (wie z.B. öffentliche Register, Medien, Internet) erhalten oder erheben.
Die von uns erfassten Kategorien von Personendaten können folgende umfassen:

  • Allgemeine Daten (z.B. Namen, Adressen, Funktionen, Organisationszugehörigkeit, etc.)
  • Kontaktdaten (Email-Adresse, Telefonnummer etc.)
  • Inhaltsdaten (z.B. Text- und Bilddateien, Videos etc.)
  • Nutzungsdaten (z.B. Zugriffsdaten)
  • Meta-/Kommunikationsdaten (z.B. IP-Adressen)
  • Informationen aus öffentlichen Registern (Betreibungsregister, Handelsregister)
  • Informationen im Zusammenhang mit ihren beruflichen Funktionen und Aktivitäten
  • Informationen über Sie in Korrespondenz und Besprechungen mit Dritten
  • Bonitätsauskünfte (soweit wir mit Ihnen persönlich Geschäfte abwickeln)
  • Informationen von Banken, Versicherungen, Vertriebs- und anderen Vertragspartnern von uns zur Inanspruchnahme oder Erbringung von Leistungen von Ihnen (z.B. erfolgte Zahlungen/Käufe)
  • Informationen aus Medien und Internet zu Ihrer Person (soweit dies im konkreten Fall angezeigt ist), sowie Referenzen bei Bewerbungen.

Ontrex und unsere Produkte und Dienstleistungen verarbeitet personenbezogene Daten auch für Zwecke der Netzwerk- und Informationssicherheit. Netz- und Informationssicherheit bedeuten dabei die Fähigkeit eines Netzes oder eines Informationssystems, Ereignissen, Angriffen oder rechtswidrigen oder böswilli-gen Handlungen zu widerstehen, die die Verfügbarkeit, Authentizität, Integrität und Vertraulichkeit gespei-cherter oder übermittelter Daten oder die Sicherheit der damit verbundenen Dienste, die von diesen Net-zen und Systemen angeboten werden oder über sie zugänglich sind, beeinträchtigen könnten. Sie um-fasst auch die Unterstützung von Organisationen darin, dass personenbezogene Daten in einer Weise verarbeitet werden, die angemessene Sicherheit und Vertraulichkeit gewährleistet, einschliesslich der Verhinderung des unbefugten Zugriffs auf oder der Nutzung von personenbezogenen Daten und der für die Verarbeitung verwendeten Geräte.
Ontrex ist ein Anbieter von Cybersicherheitstechnologien und -diensten, mit denen auf Sicherheitsvorfälle reagiert werden kann. Es liegt in unserem legitimen Interesse sowie im Interesse unserer Kunden, personenbezogene Daten in dem Masse zu erfassen und zu verarbeiten, wie es unbedingt erforderlich und verhältnismässig ist, um die Sicherheit unserer eigenen Netzwerke und der Informationssysteme unserer Geschäftspartner zu gewährleisten. Dazu gehört die Entwicklung von Bedrohungsdaten, die darauf abzie-len, die Fähigkeit von Netzen und Systemen zur Abwehr rechtswidriger oder böswilliger Handlungen und anderer schädlicher Ereignisse ("Cyber-Bedrohungen") aufrechtzuerhalten und kontinuierlich zu verbes-sern. Zu den personenbezogenen Daten, die wir zu diesen Zwecken verarbeiten, gehören unter anderem Daten zum Netzwerkverkehr im Zusammenhang mit Cyber-Bedrohungen wie:

  • Absender-E-Mail-Adressen (z.B. von Quellen von Spam);
  • Empfänger-E-Mail-Adressen (z.B. von Opfern gezielter E-Mail-Cyberattacken);
  • Reply-to-E-Mail-Adressen (z.B. von Cyberkriminellen konfiguriert, die bösartige E-Mails versenden);
  • Dateinamen und Ausführungspfade (z.B. von bösartigen oder anderweitig schädlichen ausführba-ren Dateien, die an E-Mails angehängt sind);
  • URLs und zugehörige Seitentitel (z.B. von Webseiten, die bösartige oder anderweitig schädliche Inhalte verbreiten oder hosten); und/oder IP-Adressen (z.B. von Webservern und angeschlossenen Geräten, die an der Erzeugung, Verteilung, Übermittlung, Unterbringung, Zwischenspeicherung oder sonstigen Speicherung von Cyber-Bedrohungen wie bösartigen oder anderweitig schädlichen Inhalten beteiligt sind).

Je nach dem Kontext, in dem diese Daten erhoben werden, können sie personenbezogene Daten über Sie oder andere betroffene Personen enthalten. In solchen Fällen werden wir die betreffenden Daten je-doch nur in dem Umfang verarbeiten, der unbedingt erforderlich ist und in einem angemessenen Verhält-nis zu den Zwecken der Erkennung, Blockierung, Meldung (durch Entfernung aller personenbezogenen Elemente) und Abschwächung der Cyber-Bedrohungen steht, die für Sie und alle Organisationen, die sich auf unsere Produkte und Dienstleistungen verlassen, von Bedeutung sind.
Bei der Verarbeitung personenbezogener Daten in diesem Zusammenhang werden wir nicht versuchen, eine betroffene Person zu identifizieren, es sei denn, dies ist für die Beseitigung der betreffenden Cyber-Bedrohungen unbedingt erforderlich oder gesetzlich vorgeschrieben.

2.2. Zwecke der Datenverarbeitung 
Wir bearbeiten die erhobenen Personendaten zur Gewährleistung des Vertragsabschlusses, der Ver-tragserfüllung und zur Rechnungsstellung sowie zu Kommunikationszwecken. Die Bearbeitung der Per-sonendaten ist zudem für die Erfüllung gesetzlicher Pflichten erforderlich.
Ferner bearbeiten wir Personendaten, soweit erlaubt und erforderlich, auch für folgende Zwecke, insbe-sondere aber nicht abschliessend, an denen wir (und auch Dritte) ein dem Zweck entsprechendes berechtigtes Interesse haben:

  • Erfassung, Ver- und Bearbeitung von Ausschreibungen, Bestellungen, Kündigungen, Reklamatio-nen, Störungsbehebungen, etc.
  • Verhinderung und Aufklärung von Straftaten und sonstigem Fehlverhalten (z.B. Durchführung inter-ner Untersuchungen, Datenanalysen zur Betrugsbekämpfung)
  • Massnahmen zur IT-, Gebäude- und Anlagesicherheit und Schutz unserer Mitarbeiter und weiteren Personen und uns anvertrauten Werte (wie z.B. Zutrittskontrollen, Besucherlisten, Netzwerk- und Mailscanner)
  • Allfällige gesellschaftsrechtliche Transaktionen und damit verbunden die Übertragung von Perso-nendaten sowie Massnahmen zur Geschäftssteuerung und soweit zur Einhaltung gesetzlicher und regulatorischer Verpflichtungen erforderlich
  • Angebot und Weiterentwicklung unserer Angebote, Dienstleistungen
  • Geltendmachung rechtlicher Ansprüche und Verteidigung
  • Werbung und Marketing (einschliesslich Durchführung von Schulungen und Anlässen), soweit Sie der Nutzung Ihrer Daten nicht widersprochen haben Markt- und Meinungsforschung, Medienbeobachtung
  • Bei Vorliegen einer Einwilligung zur Bearbeitung Ihrer Personaldaten für bestimmte Zwecke (z.B. für die Durchführung eines Background-Checks), bearbeiten wir Ihre Personendaten im Rahmen und gestützt auf diese Einwilligung, soweit wir keine andere Rechtsgrundlage haben und wir eine solche benötigen. Eine erteilte Einwilligung kann für die Zukunft jederzeit widerrufen werden.

2.3. Im Speziellen: Nutzung von Microsoft 365
Informationen des Drittanbieters Microsoft:
Adresse: Microsoft Corporation, One Microsoft Way Redmond, WA 98052-6399 USA
Datenschutz: privacy.microsoft.com/de-de
Datenschutzbericht: privacy.microsoft.com/de-DE/privacy-report
Für unsere tägliche Arbeit nutzen wir Microsoft 365 und verschiedene darin enthaltene Applikationen. Die Büro-Suite enthält zahlreiche Dienste, die im Büroalltag eingesetzt werden, wie z.B. Word, PowerPoint, Excel, Outlook und Teams. Microsoft 365 bietet zudem zusätzliche Onlinedienste. Dazu gehören unter anderem mehrere Cloud-Dienste, wie OneDrive, SharePoint und Exchange Online, bei denen die Daten statt im eigenen Unternehmen auf Servern von Microsoft gespeichert werden.
Ein direkter Austausch von personenbezogenen Daten zwischen Ihnen und unseren Microsoft 365-Anwendungen wird bei der Kommunikation primär per E-Mail und bei Online-Meetings über das «Microsoft Teams» stattfinden. Mit den übrigen Funktionalitäten von Microsoft 365 werden Sie in den meisten Fällen nicht unmittelbar zu tun haben. In Ausnahmefällen kann es allerdings vorkommen, dass wir Ihnen mit Ihrer Zustimmung einen Zugang zu Funktionen von Microsoft 365 ermöglichen, sofern dies für die Erbringung unserer Dienstleistungen erforderlich oder sinnvoll sein sollte.
Falls wir Ihnen ausnahmsweise, wenn auch nur zeitlich beschränkt, einen direkten Zugang zu Microsoft 365 gewähren sollten, werden folgende Daten von Ihnen bearbeitet:

  • IP-Adresse, mit der der Zugriff auf die Anwendungen von Microsoft 365 erfolgt
  • Ihr Benutzername (Zugangsdaten zu den Microsoft 365-Anwendungen), Daten im Rahmen der sog. Multifaktor-Authentifizierung, die Sie selbst in Ihrem Microsoft Account hinterlegt haben (z.B. optional die (private) Handynummer)
  • Identifikationsmerkmale: Informationen zu Ihrer Person, die Sie als Nutzer, Absender, Empfänger von Daten innerhalb der Microsoft 365-Anwendungen kennzeichnet. Dazu gehören insbesondere nachfolgende Stammdaten: Name, Vorname, dienstliche Kontaktdaten wie Telefonnummer, E-Mailadresse, sofern von Ihnen angegeben. Weitere Daten (wie z.B. ein von ihnen hinterlegtes Profilbild) sind ebenfalls in Ihrem Profil jederzeit einsehbar. Diese Informationen sind in Ihrem Profil, aber insbesondere auch in Outlook für Sie jederzeit sichtbar und können von Ihnen individuell an-gepasst werden
  • Für die Authentifizierung und den Lizenzgebrauch erforderliche Daten. In den Microsoft 365-Anwendungen werden sämtliche Nutzeraktivitäten, wie z.B. Zeitpunkt des Zugriffs, Datum, Art des Zugriffs, Angabe zu den Daten/Dateien/Dokumenten, auf die zugegriffen wurde und sämtliche Aktivitäten im Zusammenhang mit der Nutzung, wie das Anlegen, Ändern, Löschen eines Dokuments, Einrichten eines Teams (und von Kanälen in Teams), das Anfertigen von Notizen im Notizbuch, Start eines Chats, Antworten im Chat verarbeitet

Wir bearbeiten über Microsoft 365 alle Daten, welche Sie uns per Telefon oder E-Mail bei Ihrer Kontakt-nahme oder im Laufe unserer Geschäftsbeziehung mitteilen.
Derzeit speichern die folgenden Microsoft 365-Anwendungen Daten im Ruhezustand in der Schweiz: Exchange Online, SharePoint, OneDrive, Teams, Azure. In der Schweiz ruhende Daten können aber wäh-rend der Nutzung dieser Anwendungen in andere Länder übermittelt werden. Andere Microsoft 365-Anwendungen als die oben genannten können zudem auch Daten im Ruhezustand ausserhalb der Schweiz speichern. Gemäss Microsoft werden die Daten in diesem Fall primär auf Servern in der EU gespeichert. Microsoft ist Teilnehmer des Data Privacy Framework Programs.
Die rechtliche Grundlage für die Verarbeitung von personenbezogenen Daten für Datenverarbeitungen in Microsoft 365 ist primär die Bearbeitung für vorvertragliche Handlungen sowie die Durchführung eines Vertrages, d.h. der Erbringung unserer Dienstleistungen. Sie können dieser Datenverarbeitung jederzeit widersprechen; wir können in diesem Fall aber allenfalls Ihre Anfrage nicht mehr bearbeiten.
Wir nutzen die Anwendung Microsoft Teams, um Telefonkonferenzen, Online-Meetings, Videokonferenzen und/oder Webinare durchzuführen (nachfolgend: "Online-Meetings"). Microsoft Teams ist Teil von Microsoft 365.
Bei der Nutzung von Microsoft Teams werden verschiedene Datenarten verarbeitet. Der Umfang der Daten hängt dabei auch davon ab, welche Angaben zu Daten Sie vor bzw. bei der Teilnahme an einem Online-Meeting machen.
Folgende personenbezogene Daten können Gegenstand der Verarbeitung sein:

  • Angaben zum Benutzer: z.B. Anzeigename ("display name"), ggf. E-Mail-Adresse, Profilbild (optional), bevorzugte Sprache
  • Meeting-Metadaten: z.B. Datum, Uhrzeit, Meeting-ID, Telefonnummern, Ort, Text-, Audio- und Videodaten
  • Authentifizierungsdaten
  • Logfiles, Protokolldaten
  • Inhalte des Online-Meetings (wenn Sie personenbezogen in Erscheinung treten mit Beiträgen)
  • Sie haben die Möglichkeit, in einem Online-Meeting die Chatfunktion zu nutzen. Insoweit werden die von Ihnen gemachten Texteingaben verarbeitet, um diese im Online-Meeting anzuzeigen. Um die Anzeige von Video und die Wiedergabe von Audio zu ermöglichen, werden entsprechend während der Dauer des Meetings die Daten vom Mikrofon Ihres Endgeräts sowie von einer etwaigen Videokamera des Endgeräts verarbeitet. Sie können die Kamera oder das Mikrofon jederzeit selbst über die Microsoft Teams-Anwendung abschalten bzw. stummstellen
  • Bei Einwahl mit dem Telefon: Angabe zur eingehenden und ausgehenden Rufnummer, Ländername, Start- und Endzeit. Allenfalls können weitere Verbindungsdaten wie z.B. die IP-Adresse des Geräts gespeichert werden
    Wenn wir Online-Meetings aufzeichnen wollen, werden wir Ihnen das vor dem Online-Meeting transparent mitteilen und – soweit erforderlich – um eine Zustimmung bitten. Wenn es für die Zwecke der Protokollie-rung von Ergebnissen eines Online-Meetings erforderlich ist, werden wir die Chatinhalte protokollieren. Das wird jedoch in der Regel nicht der Fall sein.

Die rechtliche Grundlage für diese Datenverarbeitung sind vorvertragliche Massnahmen und die Durch-führung eines Vertrages, sofern die Meetings oder die telefonische Kommunikation im Rahmen der Kundenbeziehung erfolgen. Ausserhalb der Kundenbeziehung besteht die rechtliche Grundlage in unserem berechtigten Interesse, nämlich in der optimalen Reaktion auf Ihre Kontaktaufforderung per Telefon oder auch in Form eines Meetings. Sofern unsere rechtliche Grundlage in unserem berechtigten Interesse be-steht, können Sie dieser Datenverarbeitung jederzeit widersprechen.
Microsoft behält sich vor, die mit Microsoft Teams verarbeiteten personenbezogenen Daten zu eigenen Geschäftszwecken zu verarbeiten, sofern Microsoft überhaupt Zugang zu diesen Daten hat. Dies stellt für die Nutzer von Microsoft Teams ein Datenschutz-Risiko dar. Microsoft ist allerdings Teilnehmer des Data Privacy Framework Programs und hat daher wichtige Vorgaben des Datenschutzes zu berücksichtigen.

3. Schutz der Daten
3.1. Schutzmassnahmen
Die Sicherung personenbezogener Daten ist ein wichtiger Aspekt des Schutzes der Privatsphäre. Wir ergreifen angemessene und geeignete administrative, technische, organisatorische und physische Sicherheits- und Risikomanagementmassnahmen in Übereinstimmung mit den Marktstandards und den geltenden Gesetzen, um zu gewährleisten, dass Ihre personenbezogenen Daten angemessen vor versehentlicher oder unrechtmässiger Zerstörung, Manipulation, Beschädigung, Verlust oder Änderung, unbefugtem oder unrechtmässigem Zugriff, Offenlegung oder Missbrauch sowie vor allen anderen unrecht-mässigen Formen der Verarbeitung Ihrer personenbezogenen Daten in unserem Besitz geschützt sind.
Diese Massnahmen umfassen:

  • Physische Sicherheitsvorkehrungen: Wir schliessen Türen und Aktenschränke ab, kontrollieren den Zugang zu unseren Einrichtungen, setzen eine Politik der sauberen Schreibtische um und wenden eine sichere Vernichtung von Medien an, die persönlichen Daten enthalten.
  • Technologische Sicherheitsvorkehrungen: Wir verwenden Netzwerk- und Informationssicherheits-technologien und überwachen unsere Systeme und Datenzentren, um sicherzustellen, dass sie unseren Sicherheitsrichtlinien entsprechen. So wird beispielsweise die Verbindung zu unseren Servern über sichere Verbindungen hergestellt, und wir erstellen regelmässig Sicherungskopien der Daten, verschlüsseln diese Sicherungskopien und speichern sie in Datenzentren in der Schweiz. Unsere technischen Sicherheitsvorkehrungen werden entsprechend der technologischen Entwicklung laufend angepasst und verbessert.
  • Organisatorische Sicherheitsvorkehrungen: Wir führen regelmässig Schulungen und Sensibilisie-rungsprogramme zum Thema Sicherheit und Datenschutz durch, um sicherzustellen, dass unsere Mitarbeiter und Auftragnehmer die Bedeutung des Schutzes Ihrer personenbezogenen Daten ver-stehen und dass sie die erforderlichen Kenntnisse erwerben und aufrechterhalten. Sie sind zur Ver-schwiegenheit und zur Einhaltung der datenschutzrechtlichen Bestimmungen verpflichtet.

Eine absolute Sicherheit von personenbezogenen Daten zu gewährleisten ist nicht möglich. So sind etwa Daten, die Sie über ein offenes Netzwerk wie das Internet oder einen E-Mail-Dienst an uns übertragen, offen zugänglich. Wir können die Vertraulichkeit von Nachrichten oder Inhalten, welche über diese Netzwerke geteilt werden, nicht garantieren. Wenn Sie personenbezogene Daten über ein offenes Netzwerk weitergeben, sollten Sie sich bewusst sein, dass Dritte auf diese Daten zugreifen und diese für ihre Zwe-cke sammeln und verwenden können.

3.2. Weitergabe von Daten an Dritte, Auftragsbearbeiter und ins Ausland
Im Rahmen unserer Geschäftstätigkeit können wir Ihre personenbezogenen Daten, für die dargelegten Zwecke und sofern es angezeigt erscheint, an Dritte (wie z.B. Softwarehersteller, Behörden, Distributo-ren, Lieferanten, Hilfspersonen und sonstige Geschäftspartner, sowie an Dienstleister, die in unserem Auftrag Daten bearbeiten, weitergeben. Wir können auch dazu verpflichtet werden, Ihre persönlichen Da-ten offenzulegen, um gesetzliche oder behördliche Anforderungen zu erfüllen. Die Empfänger können ihren Sitz in der Schweiz, in der EU oder in irgendeinem anderen Land der Welt haben.
Wenn wir Daten in ein Land ohne angemessenen gesetzlichen Datenschutz übermitteln, sorgen wir wie gesetzlich vorgesehen für ein angemessenes Schutzniveau (insbesondere auf Basis der sog. Standard-vertragsklauseln der Europäischen Kommission) oder stützen uns auf die gesetzlichen Ausnahmetatbe-stände der Einwilligung, der Vertragsabwicklung, der Feststellung, Ausübung oder Durchsetzung von Rechtsansprüchen, überwiegender öffentlicher Interessen oder, weil es zum Schutz der Unversehrtheit der betroffenen Personen nötig ist.
Sonderfall USA: Wir arbeiten ausschliesslich mit Drittanbietern aus den USA zusammen, die Teilnehmer des Data Privacy Frameworks sind.

3.3. Speicherung / Dauer
Die von uns erhobenen Daten können unter Anwendung risikogerechter technischer und organisatorischer Sicherheitsmassnahmen auf eigenen sowie auf fremden Servern in der Schweiz gespeichert werden.
Die von uns erhobenen Personendaten werden nur so lange gespeichert, wie dies für die Abwicklung des Vertragsverhältnisses (von der Anbahnung bis zur Beendigung eines Vertrages) oder die sonst mit der Bearbeitung verfolgten Zwecke erforderlich ist und/oder eine gesetzliche Aufbewahrungs- und Dokumentationspflicht oder ein überwiegendes privates oder öffentliches Interesse besteht. Sobald die von uns erhobenen Personendaten für die oben genannten Zwecke nicht mehr erforderlich sind, werden sie gelöscht oder anonymisiert.

3.4. Massnahmen bei Verstössen gegen personenbezogene Daten
Wir ergreifen alle angemessenen Massnahmen, um Verstösse gegen personenbezogene Daten zu ver-hindern. Sollte es dennoch dazu kommen, haben wir ein Verfahren eingerichtet, um im Rahmen unserer Zuständigkeiten schnell handeln zu können. Diese Massnahmen stehen im Einklang mit der Rolle, die wir in Bezug auf die von der Verletzung betroffenen Produkte, Dienstleistungen oder Prozesse haben. In allen Fällen werden wir mit den betroffenen Parteien zusammenarbeiten, um die Auswirkungen so gering wie möglich zu halten, alle nach geltendem Recht erforderlichen oder anderweitig gerechtfertigten Benachrichtigungen und Offenlegungen vorzunehmen und Massnahmen zu ergreifen, um künftige Verletzungen zu verhindern.

4. Rechte der betroffenen Person
Sie haben die Möglichkeit, die folgenden Rechte unter den Bedingungen und innerhalb der Grenzen des Gesetzes auszuüben:
Recht auf Auskunft: Sie haben das Recht, jederzeit unentgeltlich Einsicht in Ihre bei uns gespeicherten personenbezogenen Daten zu verlangen, wenn wir diese bearbeiten. So haben Sie die Möglichkeit, zu prüfen, welche personenbezogene Daten wir über Sie bearbeiten, und dass wir diese gemäss den gelten-den Datenschutzbestimmungen verwenden.
Recht auf Berichtigung: Sie haben das Recht, unrichtige oder unvollständige personenbezogene Daten berichtigen zu lassen und über die Berichtigung informiert zu werden. Wir informieren in diesem Fall die Empfänger der betroffenen Daten über die vorgenommenen Anpassungen, sofern dies nicht unmöglich oder mit unverhältnismässigem Aufwand verbunden ist.
Recht auf Löschung: Sie haben das Recht, dass Ihre personenbezogenen Daten unter bestimmten Um-ständen gelöscht werden. Im Einzelfall kann das Recht auf Löschung ausgeschlossen sein.
Recht auf Einschränkung der Verarbeitung: Sie haben unter bestimmten Voraussetzungen das Recht, zu verlangen, dass die Verarbeitung Ihrer personenbezogenen Daten eingeschränkt wird.
Recht auf gerichtliche Durchsetzung und Beschwerde bei einer Aufsichtsbehörde: Sie haben das Recht, Ihre Ansprüche gerichtlich durchzusetzen oder bei der zuständigen Datenschutzbehörde eine Beschwer-de einzureichen. Die zuständige Datenschutzbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte.
Widerrufsrecht: Sie haben grundsätzlich das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. In der Vergangenheit auf Ihre Einwilligung gestützte Verarbeitungstätigkeiten werden durch Ihren Widerruf allerdings nicht unrechtmässig.
Um Ihre Identität und die Rechtmässigkeit Ihrer Anfrage festzustellen, können wir Sie auffordern, uns die zu diesem Zweck erforderlichen Informationen zur Verfügung zu stellen.

5. Abänderung der vorliegenden Datenschutzerklärung
Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit ohne Vorankündigung anzupassen. Wir werden Sie über alle Änderungen informieren, indem wir die aktualisierte Datenschutzerklärung auf unserer Webseite veröffentlichen. Jede Änderung, die wir vornehmen, gilt ab dem Datum, an dem wir sie auf unserer Webseite veröffentlichen.

6. Kontakt
Haben Sie Fragen zum Datenschutz der Ontrex, können Sie uns wie folgt erreichen:

Ontrex AG
Compliance
Haldenstrasse 23
8306 Brüttisellen
Schweiz
compliance@ontrex.ch

Ontrex GmbH
Compliance
Konrad-Zuse-Platz 8
81829 München
Deutschland
compliance@ontrex.ch

31. März 2025