Übersicht

  1. Worum geht es in dieser Datenschutzerklärung?
  2. Wer sind wir?
  3. Was sind „Personendaten“ und was heisst „Bearbeitung“?
  4. Für wen und wofür ist diese Datenschutzerklärung bestimmt?
  5. Welche Personendaten bearbeiten wir zu welchen Zwecken?
  6. Wem geben wir Ihre Personendaten weiter?
  7. Wann geben wir Ihre Personendaten ins Ausland bekannt?
  8. Führen wir Profilierungen und automatisierte Einzelentscheidungen durch?
  9. Wie schützen wir Ihre Personendaten?
  10. Wie lange speichern wir Ihre Personendaten?
  11. Welche Rechte haben Sie im Zusammenhang mit der Bearbeitung Ihrer Personendaten?
  12. Was ist sonst noch zu beachten?
  13. Änderungen dieser Datenschutzerklärung

1. Worum geht es in dieser Datenschutzerklärung?

Datenschutz ist Vertrauenssache, und Ihr Vertrauen ist uns wichtig. Wir haben deshalb diese Datenschutzerklärung veröffentlicht. Sie legt mit Blick auf die neue europäische Datenschutz-Grundverordnung („DSGVO“) dar, welche Personendaten wir auf welche Weise und zu welchen Zwecken bearbeiten. Obwohl die DSGVO eine Regulierung der Europäischen Union ist, ist sie für uns von Bedeutung. Das schweizerische Datenschutzrecht („DSG“) ist vom Europäischen Recht stark beeinflusst, und die zukünftige Revision des DSG wird viele Bestimmungen der DSGVO übernehmen. Dazu kommt, dass Unternehmen ausserhalb der Europäischen Union die DSGVO unter bestimmten Umständen einzuhalten haben. Wir wollen den hohen Schutz der DSGVO jedoch für alle Personen sicherstellen, deren Personendaten wir bearbeiten, und haben uns deshalb entschieden, diese Datenschutzerklärung insgesamt an der DSGVO auszurichten. Sie können die DSGVO unter folgendem Link einsehen:

https://eur-lex.europa.eu/legal-content/DE/TXT/HTML/?uri=CELEX:32016R0679&from=DE

Es ist uns ein Anliegen, dass Sie über die Bearbeitung Ihrer Personendaten umfassend informiert sind. Mit dieser Datenschutzerklärung informieren wir Sie daher, wie und weshalb wie wir Ihre Personendaten sammeln, bearbeiten und verwenden. Es ist uns wichtig, dass Sie verstehen:

  • welche Personendaten wir über Sie erheben und bearbeiten;
  • wann wir Ihre Personendaten sammeln;
  • zu welchem Zweck wir Ihre Personendaten verwenden;
  • wie lange wir Ihre Personendaten aufbewahren;
  • wer Zugang zu Ihren Personendaten hat; und
  • welche Rechte Sie mit Bezug auf Ihre Personendaten haben.

Sie finden im Folgenden entsprechende Hinweise und Erläuterungen. Bei Fragen können Sie uns jederzeit gerne kontaktieren. Sie finden unsere Kontaktangaben unter Ziffer 2.

2. Wer sind wir?

Für jede Datenbearbeitung ist ein bestimmtes Unternehmen datenschutzrechtlich verantwortlich. Das ist jeweils dasjenige Unternehmen, das festlegt, ob eine bestimmte Bearbeitung – z.B. eine Bearbeitung im Rahmen einer Dienstleistung, bei der Verwendung einer Webseite etc. – erfolgen soll, zu welchen Zwecken sie erfolgt und welche Grundsätze dafür gelten sollen (falls diese Entscheidungen durch mehrere Unternehmen gemeinsam getroffen werden, können sie auch gemeinsam verantwortlich sein). Für die Datenbearbeitungen nach dieser Datenschutzerklärung ist grundsätzlich jeweils das folgende Unternehmen verantwortlich („wir“ oder „uns“):

ACTIV FITNESS AG
Thurgauerstrasse 32
CH-8050 Zürich

Wir haben einen Datenschutzbeauftragten bestellt, den Sie wie folgt erreichen können: datenschutz@activfitness.ch

Wir haben zudem das folgende Unternehmen als Vertreter in der EU bzw. im Europäischen Wirtschaftsraum („EWR“; dazu gehört z.B. das Fürstentum Liechtenstein) bestimmt:

BAY GmbH
Dirk Seeburg

Wirtschaftsprüfungsgesellschaft Rechtsanwaltsgesellschaft
Technopark II | Werner-von-Siemens-Ring 12
DE-85630 Grasbrunn | Germany

Tel. +49 (89) 90 420 49 62

In bestimmten Fällen sind nicht wir verantwortlich, sondern ein anderes Unternehmen:

  • Wenn Sie mit einem anderen Unternehmen der Migros-Gruppe Kontakt haben, z.B. wenn Sie sich an einen Kundendienst wenden, ist jeweils dieses Unternehmen für diese Datenbearbeitung verantwortlich – es sei denn, diese Datenschutzerklärung sieht für die betreffende Bearbeitung etwas anderes vor.
  • Unter Umständen geben wir Ihre Personendaten einer anderen Gesellschaft der Migros-Gruppe oder auch an Aussenstehende weiter, damit diese Empfänger Personendaten für ihre eigenen Zwecke bearbeiten können (also nicht in unserem Auftrag). Dazu können auch Behörden gehören. In solchen Fällen gilt jeweils der betreffende Empfänger als Verantwortlicher. Informationen zu diesen Verantwortlichen finden Sie in der entsprechenden Datenschutzerklärung des Empfängers, die Sie in der Regel auf dessen Webseite finden können.

3. Was sind „Personendaten“ und was heisst „Bearbeitung“?

Das Datenschutzrecht regelt die Bearbeitung von Personendaten. Personendaten (oder „personenbezogene Daten“) sind sämtliche Informationen, die mit einer bestimmten natürlichen Person in Verbindung gebracht werden können, d.h. mit einem Menschen. Dazu können z.B. die folgenden Informationen gehören:

  • Kontaktinformationen, z.B. Name, Postadresse, E-Mail-Adresse, Telefonnummer;
  • weitere persönliche Angaben, z.B. Geschlecht, Geburtstag und Alter, Familienstand, Nationalität;
  • berufsbezogene Angaben, z.B. Beruf, Titel, Funktion, Ausbildung, frühere Arbeitgeber, Fähigkeiten und Erfahrungen, Bewilligungen und Zulassungen und Mitgliedschaften;
  • Einkaufsangaben, z.B. Angaben zu Einkäufen, Bestellungen, Einkaufshistorie, bevorzugte Einkaufsorte und zeiten, Warenkörbe, Präferenzen und Affinität zu bestimmten Produktgattungen;
  • Finanzangaben, z.B. Kreditkartennummer, Kontoangaben, Bonität, Vermögen und Einkommen;
  • Gesundheitsdaten, z.B. Angaben über physische und psychische Beeinträchtigungen, Behandlungen und Medikamentation;
  • Bild-, Ton- und Videoaufzeichnungen;
  • Aufzeichnungen Ihrer Besuche auf Webseiten und Ihrer Verwendung von Apps.

In der Schweiz gelten auch Informationen als Personendaten, die sich auf eine bestimmte juristische Person beziehen (z.B. Angaben über einen Vertrag mit einem Unternehmen).

Manche Personendaten werden vom Gesetzgeber besonders geschützt. Dazu gehören die „besonders schützenswerten Personendaten“ (auch „besondere Kategorien personenbezogener Daten“ genannt). Das umfasst z.B. Daten, aus denen die Rasse oder die ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder eine Gewerkschaftszugehörigkeit hervorgehen, sodann genetische Daten, biometrische Daten zur eindeutigen Identifizierung, Gesundheitsdaten und Daten zum Sexualleben oder der sexuellen Orientierung, und schliesslich auch Daten über strafrechtliche Verurteilungen und Straftaten und u.U. Daten über Massnahmen der Sozialhilfe.

Ihre Personendaten erheben wir grundsätzlich direkt von Ihnen, z.B. wenn Sie sich auf eine bestimmte Art und Weise verhalten, etwa wenn Sie mit uns kommunizieren, wenn Sie eine Webseite besuchen oder ein Angebot online oder über eine App nutzen, wie zum Beispiel den Member-Bereich auf der Website von ACTIV FITNESS. Sie können aber auch indirekt erhoben werden, z.B. wenn in der Kommunikation mit uns andere Personen erwähnt werden oder durch Zukauf von ergänzenden Angaben von dritten Datenquellen (z.B. aus sozialen Medien oder von Adresshändlern).

Wir bearbeiten nicht unbedingt alle der in dieser

erwähnten Kategorien von Personendaten. Konkrete Angaben zu den von uns bearbeiteten Personendaten finden Sie unter Ziffer 5. Je nach Bearbeitung informieren wir Sie zusätzlich in einer eigenen Datenschutzerklärung oder Mitteilung, besonders, wenn sich eine bestimmte Datenbearbeitung nicht von selbst versteht.

Bearbeitung“ (oder auch „Verarbeitung“) meint sodann jeden Umgang mit Ihren Personendaten. Dazu gehören zum Beispiel folgende Handlungen:

  • die Erhebung und Aufbewahrung;
  • die Organisation und Verwaltung;
  • die Anpassung und Veränderung;
  • das Auslesen und Abfragen;
  • die Verwendung und Nutzung;
  • die Weitergabe und Offenlegung;
  • die Verknüpfung;
  • die Einschränkung;
  • das Löschen und Vernichten.

4. Für wen und wofür ist diese Datenschutzerklärung bestimmt?

Diese Datenschutzerklärung gilt für unsere Bearbeitungen von Personendaten in allen unseren Geschäftsbereichen. Dazu gehören die geschäftlichen Aktivitäten von allen ACTIV FITNESS-Studios. Sie ist auf die Bearbeitung sowohl von bereits erhobenen als auch von zukünftigen Personendaten anwendbar. Für bestimmte Dienstleistungen können zudem zusätzliche Datenschutzbestimmungen gelten.

Unsere Datenbearbeitungen können insbesondere die folgenden Personen (sog. „betroffene Personen“) betreffen:

  • Personen, die uns schreiben oder auf andere Weise mit uns Kontakt aufnehmen;
  • Kunden in unseren Studios;
  • Besucher unserer Räumlichkeiten;
  • Nutzer von Online-Angeboten und Apps;
  • Personen, die Dienstleistungen von uns in Anspruch nehmen oder die mit Leistungen von uns in Kontakt kommen;
  • Besucher unserer Webseite;
  • Empfänger von Informationen und Marketingkommunikation;
  • Teilnehmer an Wettbewerben, Gewinnspielen und Kundenanlässen;
  • Teilnehmer an Marktforschungs- und Meinungsumfragen;
  • Kontaktpersonen unserer Lieferanten, Abnehmer und anderen Geschäftspartnern; sowie
  • Stellenbewerber.

5. Welche Personendaten bearbeiten wir zu welchen Zwecken?

Je nach Anlass und Zweck bearbeiten wir sehr unterschiedliche Personendaten. Unter anderem bearbeiten wir Personendaten – unter Umständen auch besonders schützenswerte Personendaten – in den folgenden Situationen zu den folgenden Zwecken:

  • Kommunikation: Wir bearbeiten Personendaten, wenn Sie mit uns oder wir mit Ihnen Kontakt aufnehmen, z.B. wenn Sie uns über das Kontaktformular auf der Website von Activ Fitness schreiben oder uns anrufen, z.B. um ein Probetraining zu vereinbaren. Dabei genügen uns i.d.R. Angaben wie Name und Kontaktdaten und Inhalt und Zeitpunkt der betreffenden Mitteilungen. Diese Daten verwenden wir, damit wir Ihnen Auskunft geben oder Mitteilungen machen, Ihr Anliegen bearbeiten und mit Ihnen kommunizieren können und zur Qualitätssicherung und Schulung. Wir leiten Mitteilungen auch innerhalb der Migros-Gruppe an zuständige Unternehmensstellen weiter, z.B. wenn Ihr Anliegen ein anderes Unternehmen betrifft.
  • Inanspruchnahme von Leistungen: Personendaten bearbeiten wir auch, wenn Sie Leistungen von uns in Anspruch nehmen, z.B. wenn Sie bei uns eine Dienstleistung, z.B. in Form eines Probetrainings oder eines Gesprächs zum Gesundheitszustandes und oder Leistungszielen beziehen oder Mitglied bei Activ Fitness werden. Dabei bearbeiten wir Ihre Personendaten z.B. im Rahmen der Abwicklung von Mitgliederverträgen und Rechnungstellung. Bei Abschluss eines Abos bearbeiten wir zudem Personendaten im Zusammenhang mit Ihrer Bonität und Ihrem Zahlungsverhalten. Bspw. verwenden wir Bonitätsangaben, um zu entscheiden, ob wir Ihnen Monatszahlungen anbieten.
  • Besuch von Webseiten: Wenn Sie unsere Webseiten besuchen, bearbeiten wir je nach Angebot und Funktionalität Personendaten. Dazu gehören technische Daten wie z.B. Angaben über den Zeitpunkt des Zugriffs auf unsere Webseite, die Dauer des Besuchs, die aufgerufenen Seiten und Angaben über das verwendete Gerät (z.B. Tablet, PC oder Smartphone; „Endgerät“). Wir verwenden diese Daten zur Bereitstellung der Webseite, aus Gründen der IT-Sicherheit und zur Verbesserung der Nutzerfreundlichkeit der Webseite. Wir verwenden zudem auch „Cookies“; das sind Dateien, die auf dem Endgerät gespeichert werden, wenn Sie unsere Webseite besuchen. Cookies sind in vielen Fällen für die Funktionalität der Webseite erforderlich und werden nach dem Besuch automatisch gelöscht. Andere Cookies dienen der Personalisierung des Angebots und werden für eine bestimmte Dauer (z.B. zwei Jahre) gespeichert. Wir verwenden ferner auch Analyse-Dienste wie z.B. Google Analytics. Dabei werden detaillierte Angaben über das Verhalten auf der betreffenden Webseite erhoben.
  • Online-Angebote und Apps: Wenn Sie Online-Angebote von uns nutzen, wie zum Beispiel den Member-Bereich auf der Activ Fitness Website, bearbeiten wir ebenfalls Personendaten (auch wenn Sie dabei keine Ware erwerben und keine Dienstleistung beziehen). Dazu gehören je nach Art des Angebots Angaben über ein Kundenkonto und die Verwendung desselben und Angaben über die Installation und Verwendung von mobilen Applikationen („Apps“).
  • Information und Direktmarketing: Wir bearbeiten Personendaten zum Versand von Informations- und Werbemitteilungen. Wenn Sie sich z.B. für einen Newsletter oder eine SMS-Benachrichtigung anmelden, bearbeiten wir Ihre Kontaktdaten und bei E-Mails zudem Angaben über Ihre Nutzung der Mitteilungen (z.B. ob Sie eine E-Mail geöffnet und darin eingebettete Bilder heruntergeladen haben), um Sie besser kennenzulernen, um unsere Angebote genauer auf Sie ausrichten und um sie generell verbessern zu können. Sie können die Bearbeitung der Nutzungsdaten in Ihrem E-Mail-Programm blockieren, wenn Sie damit nicht einverstanden sind.
  • Wettbewerbe, Gewinnspiele und ähnliche Veranstaltungen: Wir veranstalten ab und zu Wettbewerbe, Gewinnspiele und ähnliche Veranstaltungen, wie z.B. spezielle Fitnessevents. Dabei bearbeiten wir Ihre Kontaktdaten und Angaben über Ihre Teilnahme für die Durchführung der Veranstaltung, für die Kommunikation mit Ihnen in diesem Zusammenhang und zu Werbezwecken. Weitere Angaben dazu finden Sie jeweils in den entsprechenden Teilnahmebedingungen.
  • Betreten unserer Räumlichkeiten: Wenn Sie unsere Räumlichkeiten betreten, können wir in entsprechend gekennzeichneten Bereichen zu Sicherheits- und Beweiszwecken Videoaufnahmen erstellen, insbesondere in den Studios, in denen nicht durchweg eine Betreuung für Kunden zur Verfügung steht (betreuungsfreie Zeiten). Es ist ferner möglich, dass Sie ein Wi-Fi-Angebot nutzen können. In diesem Fall erheben wir bei der Anmeldung gerätespezifische Daten und fordern Sie ggf. auf, sich unter Angabe von Name und E-Mail-Adresse oder Mobiltelefonnummer anzumelden.
  • Kundenanlässe: Wenn wir Kundenanlässe (wie z.B. Werbeveranstaltungen und spezielle Sport- und Fitnessveranstaltungen) durchführen, bearbeiten wir ebenfalls Personendaten. Dazu gehören Name und Kontaktangaben der Teilnehmer bzw. Interessenten und je nachdem weitere Daten, z.B. Ihr Geburtsdatum. Wir bearbeiten diese Angaben für die Durchführung der Kundenanlässe, aber auch, um mit Ihnen in direkten Kontakt zu treten und Sie besser kennenzulernen.
  • Geschäftspartner: Wir arbeiten mit unterschiedlichen Unternehmen und Geschäftspartnern zusammen, z.B. mit Lieferanten, mit kommerziellen Abnehmern von Waren und Dienstleistungen, mit Kooperationspartnern und mit Dienstleistern (z.B. IT-Dienstleistern). Dabei bearbeiten wir zur Vertragsanbahnung und -abwicklung, zur Planung, für Buchführungszwecke und weitere mit dem Vertrag zusammenhängende Zwecke jeweils auch Personendaten über die Kontaktpersonen in diesen Unternehmen, z.B. Name, Funktion, Titel und Kommunikation mit uns. Je nach Tätigkeitsbereich sind wir auch gehalten, das betreffende Unternehmen und seine Mitarbeiter näher zu prüfen, z.B. durch eine Sicherheitsprüfung. In diesem Fall erheben und bearbeiten wir weitere Angaben. Wir können Personendaten auch zur Verbesserung unserer Kundenorientierung, der Kundenzufriedenheit und der Kundenbindung bearbeiten (Customer/Supplier Relationship Management).
  • Administration: Wir bearbeiten Personendaten für unsere eigene und die gruppeninterne Administration. Bspw. können wir Personendaten im Rahmen des Rechnungswesens oder IT-bezogene Verwaltung des Mitgliedersystems bearbeiten. Wir bearbeiten Personendaten auch für Buchhaltungs- und Archivierungszwecke und generell für die Prüfung und Verbesserung interner Abläufe.
  • Unternehmenstransaktionen: Wir können Personendaten auch zur Vorbereitung und Abwicklung von Unternehmensübernahmen und ‑ver­käufen und von Käufen oder Verkäufen von Vermögenswerten bearbeiten. Gegenstand und Umfang der erhobenen oder übermittelten Daten sind dabei vom Stadium und vom Gegenstand der Transaktion abhängig.
  • Stellenbewerbungen: Personendaten bearbeiten wir auch, wenn Sie sich bei uns bewerben. Dafür benötigen wir i.d.R. die üblichen und die in einer Stellenausschreibung genannten Informationen und Unterlagen.
  • Einhaltung rechtlicher Anforderungen: Wir bearbeiten Personendaten, um rechtliche Vorgaben einzuhalten. Dazu gehören z.B. die Entgegennahme und Bearbeitungen von Beschwerden und anderen Meldungen, interne Untersuchungen oder die Offenlegung von Unterlagen gegenüber einer Behörde, wenn wir dazu einen guten Grund haben oder rechtlich dazu verpflichtet sind.
  • Rechtswahrung: Wir bearbeiten Personendaten in unterschiedlichen Konstellationen, um unsere Rechte zu wahren, z.B. um Ansprüche gerichtlich, vor- oder aussergerichtlich und vor Behörden im In- und Ausland durchzusetzen oder uns gegen Ansprüche zu verteidigen. Bspw. können wir Prozessaussichten abklären lassen oder bei einer Behörde Unterlagen einreichen. Dabei können wir Ihre Personendaten bearbeiten oder Dritten im In- und Ausland weitergeben, soweit dies erforderlich und zulässig ist.

6. Wem geben wir Ihre Personendaten weiter?

Unsere Mitarbeiter haben Zugriff auf Ihre Personendaten, soweit dies für die beschriebenen Zwecke und die Tätigkeit der betreffenden Mitarbeiter erforderlich ist. Sie handeln dabei nach unseren Weisungen und sind im Umgang mit Ihren Personendaten zu Vertraulichkeit und Verschwiegenheit verpflichtet.

Wir können Ihre Personendaten zur konzerninternen Verwaltung und zu den verschiedenen Bearbeitungszwecken auch an andere Gesellschaften innerhalb der Migros-Gruppe weitergeben. Dadurch können Ihre Personendaten für die jeweiligen Zwecke auch zusammen mit Personendaten bearbeitet und verknüpft werden, die von anderen Unternehmen der Migros-Gruppe stammen.

  • Wir können Ihre Personendaten an Dritte weitergeben, wenn wir deren Dienstleistungen in Anspruch nehmen wollen („Auftragsdatenbearbeiter“). Dabei geht es insbesondere um Dienstleistungen in den folgenden Bereichen:
  • Leistungen im Bereich der Unternehmensverwaltung (z.B. Buchhaltung oder Bewirtschaftung von Mitgliederdaten,
  • Beratungsdienstleistungen, z.B. Leistungen von Steuerberatern, Rechtsanwälten, Unternehmensberatern, Beratern im Bereich Personalgewinnung und -vermittlung;
  • IT-Dienstleistungen, z.B. Leistungen in den Bereichen Datenspeicherung (Hosting), Cloud-Dienste, Versand von E-Mail-Newslettern, Datenanalyse und -veredelung etc.;
  • Bonitätsprüfung, z.B. wenn Sie ein Abo mit Monatsrechnung bezahlen wollen;

Wir stellen durch die Auswahl der Auftragsdatenbearbeiter und durch geeignete vertragliche Vereinbarungen sicher, dass der Datenschutz während der gesamten Bearbeitung Ihrer Personendaten auch durch Dritte sichergestellt ist. Unsere Auftragsdatenbearbeiter sind verpflichtet, die Personendaten ausschliesslich in unserem Auftrag und nach unseren Instruktionen zu bearbeiten.

Es ist ferner möglich, dass Personendaten an andere Unternehmen (auch) zu deren eigenen Zwecken weitergeben. In diesen Fällen ist der Empfänger der Daten datenschutzrechtlich ein eigener Verantwortlicher. Das betrifft z.B. die folgenden Fälle:

  • Wenn wir Transaktionen wie Unternehmenszusammenschlüsse oder den Erwerb oder Verkauf einzelner Teile eines Unternehmens oder seiner Vermögenswerte prüfen oder durchführen, müssen wir in diesem Zusammenhang Personendaten an ein anderes Unternehmen übermitteln. In diesen Fällen informieren wir Sie jeweils so frühzeitig, wie dies möglich ist, und wir versuchen, möglichst wenige Personendaten zu bearbeiten.
  • Wir können Ihre Personendaten Dritten offenlegen (z.B. Behörden in der Schweiz und im Ausland), wenn dies gesetzlich vorgeschrieben ist. Wir behalten uns die Bearbeitung Ihrer Personendaten zudem vor, um einer gerichtlichen Verfügung nachzukommen oder Rechtsansprüche geltend zu machen bzw. abzuwehren oder wir es aus anderen rechtlichen Gründen für notwendig halten.
  • Wir können Personendaten über Sie an ehemalige Arbeitgeber weitergeben, wenn Sie sich bei uns bewerben (Referenzauskünfte), oder an zukünftige Arbeitgeber, wenn Sie sich für eine neue Stelle bewerben. Das tun wir aber nicht ohne Ihre Aufforderung bzw. Ihr Einverständnis.
  • Wenn wir Forderungen gegen Sie an andere Unternehmen wie z.B. Inkassounternehmen übertragen.

7. Wann geben wir Ihre Personendaten ins Ausland bekannt?

Die Empfänger Ihrer Personendaten (Ziffer  6) können sich jeweils auch im Ausland befinden – auch ausserhalb der EU bzw. des EWR. Die betreffenden Länder verfügen möglicherweise nicht über Gesetze, die Ihre Personendaten im gleichen Umfang wie in der Schweiz oder in der EU bzw. dem EWR schützen. Sollten wir Ihre Personendaten in einen solchen Staat übermitteln, sind wir verpflichtet, den Schutz Ihrer Personendaten in angemessener Weise sicherzustellen (Artikel 46 und 47 DSGVO). Ein Mittel dazu ist der Abschluss von Datenübermittlungsverträgen mit den Empfängern Ihrer Personendaten in Drittstaaten, die den erforderlichen Datenschutz sicherstellen. Dazu gehören Verträge, die von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigt, ausgestellt oder anerkannt wurden, sogenannte Standardvertragsklauseln (Rechtsgrundlage ist Artikel 46 Absatz 2 DSGVO). Ebenso ist die Übermittlung an Empfänger zulässig, die dem US-Privacy-Shield-Programm – https://www.privacyshield.gov/list unterstehen.

Bitte kontaktieren Sie uns, falls Sie eine Kopie unserer Datenübermittlungsverträge wünschen (Ziffer 2). Ein Beispiel der in der Regel verwendeten Verträge finden Sie hier – https://ec.europa.eu/info/law/law-topic/data-protection/data-transfers-outside-eu/model-contracts-transfer-personal-data-third-countries_de. In Ausnahmefällen ist die Übermittlung in Länder ohne angemessenen Schutz auch in anderen Fällen zulässig, z.B. gestützt auf eine ausdrückliche Einwilligung (Artikel 49 Absatz 1 Buchstabe a DSGVO), zur Erfüllung eines Vertrags mit der betroffenen Person oder zur Bearbeitung ihres Vertragsantrags (Buchstabe b), für den Abschluss oder die Erfüllung eines Vertrags mit jemand anderem im Interesse der betroffenen Person (Buchstabe c), zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (Buchstabe e).

8. Führen wir Profilierungen und automatisierte Einzelentscheidungen durch?

Profilierung“ oder „Profiling“ bezeichnet einen Vorgang, bei dem Personendaten automatisiert bearbeitet werden, um persönliche Aspekte zu bewerten, zu analysieren oder vorherzusagen, z.B. die Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel. Wir führen oft Profilierungen durch, z.B. bei der Auswahl von Stellenbewerbern, bei der Prüfung von Vertragspartnern etc.

Automatisierte Einzelfallentscheidung“ bezeichnet Entscheidungen, die automatisiert erfolgen, d.h. ohne relevanten menschlichen Einfluss, und die Ihnen gegenüber negative rechtliche Wirkungen oder andere, ähnlich negative Wirkungen haben. Wir werden Sie gesondert informieren, sofern wir automatisierte Einzelfallentscheidungen in Einzelfällen einsetzen und sofern dies gesetzlich vorgegeben ist.

9. Wie schützen wir Ihre Personendaten?

Wir treffen angemessene Sicherheitsmassnahmen technischer Natur (z.B. Verschlüsselung, Pseudonymisierung, Protokollierung, Zugriffsbeschränkung, Datensicherung etc.) und organisatorischer Natur (z.B. Weisungen an unsere Mitarbeiter, Vertraulichkeitsvereinbarungen, Überprüfungen etc.), um die Sicherheit Ihrer Personendaten zu wahren, um sie gegen unberechtigte oder unrechtmässige Bearbeitungen zu schützen und der Gefahr des Verlusts, einer unbeabsichtigten Veränderung, einer ungewollten Offenlegung oder eines unberechtigten Zugriffs entgegenzuwirken. Sicherheitsrisiken lassen sich jedoch generell nicht ganz ausschliessen; gewisse Restrisiken sind meistens unvermeidbar.

10. Wie lange speichern wir Ihre Personendaten?

Wir speichern Ihre Personendaten in personenbezogener Form, solange es für den konkreten Zweck, für den wir sie erhoben haben, erforderlich ist, bei Verträgen in der Regel zumindest für die Dauer der Vertragsbeziehung. Wir speichern Personendaten ferner, wenn wir ein berechtigtes Interesse an der Speicherung haben. Das kann insbesondere dann der Falls sein, wenn wir Personendaten benötigen, um Ansprüche durchzusetzen oder abzuwehren, zu Archivierungszwecken, zur Gewährleistung der IT-Sicherheit oder wenn Verjährungsfristen für vertragliche oder ausservertragliche Ansprüche laufen. Häufig findet z.B. eine Verjährungsfrist von zehn Jahren Anwendung, in manchen Fällen auch eine solche von fünf Jahren oder von einem Jahr. Wir speichern Ihre Personendaten zudem, solange sie einer gesetzlichen Aufbewahrungspflicht unterliegen. Für bestimmte Daten gilt z.B. eine zehnjährige Aufbewahrungsfrist. Für andere Daten gelten jeweils kurze Aufbewahrungsfristen, z.B. bei Aufnahmen aus einer Videoüberwachung oder für Aufzeichnungen bestimmter Vorgänge im Internet (Log-Daten). In bestimmten Fällen bitten wir Sie zudem um Ihre Einwilligung, wenn wir Personendaten länger speichern wollen (z.B. bei Stellenbewerbungen, die wir pendent halten möchten). Nach Ablauf der genannten Fristen löschen oder anonymisieren wir Ihre Personendaten.

11. Welche Rechte haben Sie im Zusammenhang mit der Bearbeitung Ihrer Personendaten?

Sie können Datenbearbeitungen jederzeit widersprechen und Einwilligungen in eine Datenbearbeitung in der Regel frei widerrufen. Ein Widerspruchsrecht besteht insbesondere gegen Datenbearbeitungen im Zusammenhang mit Direktwerbung (z.B. gegen Werbe-E-Mails).

Sie haben zudem die folgenden Rechte:
Recht auf InformationSie haben das Recht, transparent, klar verständlich und umfassend darüber informiert zu werden, wie wir Ihre Personendaten bearbeiten und welche Rechte Ihnen im Zusammenhang mit der Bearbeitung Ihrer Personendaten zustehen. Mit der vorliegenden Datenschutzerklärung kommen wir dieser Verpflichtung nach. Wenn Sie weitere Angaben wünschen, können Sie uns gerne kontaktieren (Ziffer2).
Recht auf AuskunftSie haben das Recht, jederzeit unentgeltlich Einsicht in Ihre bei uns gespeicherten Personendaten zu verlangen, wenn wir diese bearbeiten. So haben Sie die Möglichkeit, zu prüfen, welche Personendaten wir über Sie bearbeiten, und dass wir diese gemäss geltenden Datenschutzbestimmungen verwenden. Im Einzelfall kann das Recht auf Auskunft eingeschränkt werden oder ausgeschlossen sein, insbesondere:

  • wenn wir Zweifel an Ihrer Identität haben und Sie sich nicht identifizieren können;
  • zum Schutz anderer Personen (z.B. zur Wahrung von Geheimhaltungsverpflichtungen oder der Datenschutzrechte Dritter);
  • bei einer exzessiven Ausübung des Auskunftsrechts (alternativ können wir diesfalls ein Entgelt für die Auskunft verlangen); oder
  • wenn eine vollumfängliche Auskunft unverhältnismässigen Aufwand erzeugen würde.
Recht auf BerichtigungSie haben das Recht, unrichtige oder unvollständige Personendaten berichtigen zu lassen und über die Berichtung informiert zu werden. Wir informieren in diesem Fall die Empfänger der betroffenen Daten über die vorgenommenen Anpassungen, sofern dies nicht unmöglich oder mit unverhältnismässigem Aufwand verbunden ist.
Recht auf LöschungSie haben das Recht, dass Ihre Personendaten gelöscht werden. Eine Löschung Ihrer Personendaten können Sie verlangen, wenn:

  • die Personendaten für die verfolgten Zwecke nicht mehr erforderlich sind;
  • Sie Ihre Einwilligung wirksam widerrufen oder wirksam Widerspruch gegen die Bearbeitung eingelegt haben;
  • die Personendaten unrechtmässig bearbeitet werden.

Wir informieren in diesem Fall die Empfänger der betroffenen Daten über die Löschung, sofern dies nicht unmöglich oder mit unverhältnismässigem Aufwand verbunden ist.

Im Einzelfall kann das Recht auf Löschung ausgeschlossen sein, insbesondere wenn die Bearbeitung erforderlich ist:

  • zur Ausübung der freien Meinungsäusserung;
  • zur Erfüllung einer rechtlichen Aufgabe oder im öffentlichen Interesse liegt;
  • zur Wahrnehmung von Rechtsansprüchen.
Recht auf Einschränkung
der Bearbeitung
Sie haben unter bestimmten Voraussetzungen das Recht zu verlangen, dass die Bearbeitung Ihrer Personendaten eingeschränkt wird. Das kann zum Beispiel heissen, dass Personendaten (vorläufig) nicht weiter bearbeitet werden oder dass veröffentlichte Personendaten (vorläufig) von einer Webseite entfernt werden. Wir informieren in diesem Fall die Empfänger der betroffenen Daten über die vorgenommenen Anpassungen, sofern dies nicht unmöglich oder mit unverhältnismässigem Aufwand verbunden ist.
Recht auf DatenübertragungSie haben das Recht, von uns die Personendaten, welche Sie uns bereitgestellt haben, unentgeltlich in einem lesbaren Format zu erhalten, sofern:

  • die konkrete Datenbearbeitung auf Ihrer Einwilligung beruht oder zur Vertragserfüllung erforderlich ist; und
  • die Bearbeitung mithilfe automatisierter Verfahren erfolgt.

Je nach Einzelfall kann die Übertragung Ihrer Personendaten an Sie selbst oder auch direkt an den Drittanbieter erfolgen.

BeschwerderechtSie haben das Recht, bei einer zuständigen Aufsichtsbehörde gegen die Art und Weise der Bearbeitung Ihrer Personendaten Beschwerde einzureichen.
WiderrufsrechtSie haben grundsätzlich das Recht, eine erteilte Einwilligung jederzeit zu widerrufen. In der Vergangenheit auf Ihre Einwilligung gestützte Bearbeitungstätigkeiten werden durch Ihren Widerruf allerdings nicht unrechtmässig.

12. Was ist sonst noch zu beachten?

Die DSGVO verlangt, dass für Datenbearbeitungen jeweils die anwendbare Rechtsgrundlage genannt wird. Die Bearbeitung von Personendaten ist insbesondere dann erlaubt, wenn

  • sie für die Erfüllung eines Vertrags der betroffenen Person oder für vorvertragliche Massnahmen auf ihre Anfrage (z.B. die Prüfung ihres Vertragsantrags) erforderlich ist (Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe b DSGVO);
  • sie für berechtigte Interessen erforderlich ist, sofern die Interessen oder Grundrechte und Grundfreiheiten der betroffenen Person nicht überwiegen (Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe f DSGVO). Zu den berechtigten Interessen gehören unsere eigenen Interessen und Interessen Dritter. Sie sind sehr vielfältig und umfassen z.B. das Interesse an einer guten Kundenbetreuung, der Kontaktpflege und sonstiger Kommunikation mit Kunden auch ausserhalb eines Vertrags; an Werbe- und Marketing-Aktivitäten;  daran, unsere Kunden und andere Personen  besser kennenzulernen; daran, Produkte und Dienstleistungen zu verbessern und neue zu entwickeln; an der gruppeninternen Verwaltung und dem gruppeninternen Verkehr, der bei einem Konzern mit arbeitsteiliger Zusammenarbeit notwendig ist; an der Betrugsbekämpfung und der Verhinderung und Untersuchung von Delikten; am Schutz von Kunden, Mitarbeitern und anderen Personen und Daten, Geheimnisse und Vermögenswerte der Migros-Gruppe; an der Gewährleistung der IT-Sicherheit, besonders im Zusammenhang mit der Verwendung von Webseiten, Apps und anderer IT-Infrastruktur; an der Gewährleistung und Organisation des Geschäftsbetriebs, einschliesslich des Betriebs und der Weiterentwicklung von Webseiten und anderen Systemen; an der Unternehmensführung und -entwicklung; am Verkauf oder Kauf von Unternehmen, Unternehmensteilen und anderen Vermögenswerten; an der Durchsetzung oder Verteidigung von Rechtsansprüchen; und an der Einhaltung des schweizerischen Rechts und interner Regeln;
  • sie auf einer wirksamen Einwilligung beruht, die nicht widerrufen wurde (Rechtsgrundlage ist Artikel 4 Nr. 11, Artikel 7 und 8 DSGVO);
  • sie zur Einhaltung von Rechtsvorschriften erforderlich ist (Rechtsgrundlage ist Artikel 6 Absatz 1 Buchstabe c DSGVO).

Die Bearbeitung besonders schützenswerter Personendaten (dazu Ziffer 3) ist stärker eingeschränkt. Sie ist u.a. erlaubt

  • mit einer wirksamen und ausdrücklichen Einwilligung, die nicht widerrufen wurde (Rechtsgrundlage ist Artikel 9 Absatz 2 Buchstabe a DSGVO);
  • wenn sie sich auf Personendaten bezieht, die die betroffene Person offensichtlich öffentlich bekanntgegeben hat (Rechtsgrundlage ist Artikel 9 Absatz 2 Buchstabe e DSGVO);
  • wenn sie zur Rechtswahrung erforderlich ist (Rechtsgrundlage ist Artikel 9 Absatz 2 Buchstabe f DSGVO);
  • wenn sie zur Einhaltung bestimmter Rechtsvorschriften erforderlich ist (Rechtsgrundlage ist Artikel 9 Absatz 2 Buchstabe a DSGVO).

Nur unter bestimmten Voraussetzungen ist auch die Datenübermittlung ins Ausland zulässig. Dazu finden Sie Angaben in Ziffer 7.

Die DSGVO verlangt ferner, Sie darüber zu informieren, ob Sie gesetzlich oder vertraglich verpflichtet sind, Personendaten bereitzustellen, oder ob dies für einen Vertragsabschluss erforderlich ist, und welche Folgen die Nichtbereitstellung hätte. Eine Pflicht zur Bekanntgabe von Personendaten an uns besteht in aller Regel nicht, es sei denn, sie stehen in einer Vertragsbeziehung mit uns, die eine solche Pflicht begründet (z.B. der Gesundheitsfragebogen bei einem Probetraining zur Wahrung gesundheitlicher Interessen von Kunden). Allerdings werden wir diejenigen Personendaten erheben und bearbeiten müssen, die für die Aufnahme und Abwicklung einer Vertragsbeziehung und für die Erfüllung der damit verbundenen Pflichten (z.B. Sorgfaltspflichten gegenüber unseren Mitgliedern) notwendig oder gesetzlich vorgeschrieben sind. Andernfalls können wir den betreffenden Vertrag nicht schliessen oder weiterführen. Zwingend ist die Bearbeitung bestimmter Daten auch bei der Verwendung von Webseiten. Hier können Sie zwar Cookies verhindern (dazu finden Sie in dieser Datenschutzerklärung weitere Angaben). Die Protokollierung bestimmter, i.d.R. aber nicht personenbezogener Daten wie z.B. Ihre IP-Adresse kann aus technischen Gründen aber nicht unterbunden werden.

Unter Umständen wollen oder müssen Sie uns Personendaten Dritter übermitteln. Wir weisen Sie darauf hin, dass Sie in diesem Fall verpflichtet sind, die betreffenden Personen über diese Datenübermittlung und über die vorliegende Datenschutzerklärung zu informieren und die Richtigkeit der betreffenden Personendaten sicherzustellen.

13. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann im Lauf der Zeit angepasst werden, besonders wenn wir unsere Datenbearbeitungen ändern oder wenn neue Rechtsvorschriften anwendbar werden. Wir informieren Personen, deren Kontaktangaben bei uns registriert sind, bei erheblichen Änderungen aktiv über solche Änderungen, wenn das ohne unverhältnismässigen Aufwand möglich ist. Generell gilt für Datenbearbeitungen aber jeweils die Datenschutzerklärung in der bei Beginn der betreffenden Bearbeitung aktuellen Fassung.

24. Mai 2019 Version 1.1