Datenschutzerklärung
Datenschutzerklärung von BHP – Brugger und Partner AG
Version: 31.08.20231 Worum geht es in dieser Datenschutzerklärung?
BHP – Brugger und Partner AG (die «BHP – Brugger und Partner AG», nachstehend auch «wir», «uns») ist ein Unternehmen mit Sitz in Zürich. Als Beratungsunternehmen sind wir spezialisiert auf Strategieberatung und Prozessbegleitung unter besonderer Berücksichtigung von Nachhaltigkeitsaspekten. Wir verfügen über inhaltliche und methodische Kernkompetenzen in den Bereichen «CSR & Transformationsprozesse», «Standortförderung & Raumentwicklung» sowie «Politikentwicklung & Internationale Zusammenarbeit».Im Rahmen unserer geschäftlichen Tätigkeiten beschaffen und bearbeiten wir Personendaten, insbesondere Personendaten über unsere Kund*innen, Vertragsparteien, verbundene Personen, Behörden, Berufs- und andere Verbände, Besuchende unserer Website, Teilnehmende an Veranstaltungen, Bewerber*innen und weitere Stellen bzw. jeweils deren Kontaktpersonen und Mitarbeitende (nachstehend auch «Sie»). In dieser Datenschutzerklärung informieren wir über diese Datenbearbeitungen. Zusätzlich zu der vorliegenden Datenschutzerklärung können wir Sie über die Bearbeitung Ihrer Daten separat informieren (z.B. bei Vertragsbedingungen).
Wenn Sie uns Daten über andere Personen (z.B. Mitarbeitende oder sonstige verbundene Personen) bekanntgeben, gehen wir davon aus, dass Sie dazu befugt und diese Daten korrekt sind, und Sie sichergestellt haben, dass diese Personen über diese Bekanntgabe informiert sind, soweit eine rechtliche Informationspflicht gilt (z.B. indem ihnen die vorliegende Datenschutzerklärung vorgängig zur Kenntnis gebracht wurde).
2 Wer ist für die Bearbeitung Ihrer Daten verantwortlich?
Für die in dieser Datenschutzerklärung beschriebenen Bearbeitungen ist datenschutzrechtlich verantwortlich:BHP – Brugger und Partner AG
Lagerstrasse 33
Postfach
8004 Zürich
3 Zu welchen Zwecken bearbeiten wir welche Ihrer Daten?
Wenn Sie unsere Dienstleistungen in Anspruch nehmen, unsere Website «www.bruggerconsulting.ch» verwenden (nachfolgend «Website»), oder sonst mit uns zu tun haben, beschaffen und bearbeiten wir verschiedene Kategorien Ihrer Personendaten. Grundsätzlich können wir diese Daten insbesondere zu den folgenden Zwecken beschaffen und sonst bearbeiten:• Kommunikation: Wir bearbeiten Personendaten, damit wir mit Ihnen sowie mit Dritten – wie Kund*innen oder Behörden – über E-Mail, Telefon, brieflich oder anderweitig kommunizieren können (z.B. zur Beantwortung von Anfragen, im Rahmen der Beratung sowie der Vertragsanbahnung oder -abwicklung). Hierfür bearbeiten wir insb. die Inhalte der Kommunikation, Ihre Kontaktdaten sowie die Randdaten der Kommunikation, aber auch Bild- und Audioaufzeichnungen von (Video)-Telefonaten. Im Falle einer Audio- oder Videoaufzeichnung steht es Ihnen frei uns mitzuteilen, falls Sie keine Aufzeichnung wünschen, oder die Kommunikation zu beenden.
• Anbahnung und Abschluss von Verträgen: Im Hinblick auf den Abschluss eines Vertrags mit Ihnen oder Ihrem Auftrag- oder Arbeitgebenden können wir insbesondere Ihren Namen, Kontaktdaten, Vollmachten, Informationen über Dritte (z.B. Kontaktpersonen), Vertragsinhalte, Abschlussdatum sowie alle weiteren Daten beschaffen und sonst bearbeiten, welche Sie uns zur Verfügung stellen oder die wir aus öffentlichen Quellen oder von Dritten erheben (z.B. Handelsregister, Medien oder aus dem Internet).
• Verwaltung und Abwicklung von Verträgen: Wir beschaffen und bearbeiten Personendaten, damit wir unsere vertraglichen Pflichten gegenüber unseren Kund*innen und anderen Vertragsparteien (z.B. Lieferant*innen, Dienstleistungserbringende, Projektpartner*innen) einhalten und insbesondere die vertraglichen Leistungen erbringen und einfordern können. Dazu gehören auch die Datenbearbeitung zur Mandatsführung (z.B. Beratung und die Korrespondenz) sowie die Datenbearbeitung zur Durchsetzung von Verträgen, die Buchführung und die öffentliche Kommunikation (sofern erlaubt). Hierfür bearbeiten wir insbesondere die Daten, welche wir im Rahmen der Anbahnung, des Abschlusses und der Abwicklung des Vertrags erhalten oder erhoben haben sowie Daten, die wir im Rahmen unserer vertraglichen Leistungen erstellen oder die wir aus öffentlichen Quellen oder von sonstigen Dritten (z.B. Behörden, Medien oder aus dem Internet) erheben. Zu diesen Daten können insbesondere Gesprächs- und Beratungsprotokolle, Notizen, interne und externe Korrespondenz, Vertragsdokumente, sowie weitere mandatsbezogene Informationen, Leistungsnachweise, Rechnungen sowie Finanz- und Zahlungsinformationen gehören.
• Betrieb unserer Website: Um unsere Website sicher und stabil betreiben zu können, erheben wir technische Daten, wie z.B. IP-Adresse, Angaben über das Betriebssystem und Einstellungen Ihres Endgeräts, die Region, den Zeitpunkt und die Art der Nutzung. Zudem verwenden wir Cookies und ähnliche gängigen Technologien. Für weitere Informationen vgl. Ziff. 8.
• Verbesserung unserer elektronischen Angebote: Um unsere Website laufend zu verbessern, erheben wir Daten über Ihr Verhalten und Ihre Präferenzen, indem wir beispielsweise analysieren, wie Sie durch unsere Website navigieren.
• Sicherheitszwecke sowie Zugangskontrollen: Wir beschaffen und bearbeiten Personendaten, um die angemessene Sicherheit unserer IT und der damit verbundenen Infrastruktur zu gewährleisten und laufend zu verbessern. Hierzu gehören z.B. die Überwachung und die Kontrolle von elektronischen Zugriffen auf unsere IT-Systeme sowie Analysen und Tests unserer IT-Infrastrukturen, System- und Fehlerprüfungen und die Erstellung von Sicherheitskopien.
• Stellenbewerbung: Wenn Sie sich bei uns für eine Stelle bewerben, beschaffen und bearbeiten wir die entsprechenden Daten zum Zweck der Prüfung der Bewerbung, der Durchführung des Bewerbungsverfahrens und bei erfolgreichen Bewerbungen für die Vorbereitung und den Abschluss eines entsprechenden Vertrags. Dazu bearbeiten wir neben Ihren Kontaktdaten und den Angaben aus der entsprechenden Kommunikation insbesondere auch die in Ihren Bewerbungsunterlagen enthaltenen Daten und die Daten, die wir zusätzlich über Sie beschaffen können, bspw. aus berufsbezogenen sozialen Netzwerken, dem Internet, den Medien und aus Referenzen, falls Sie einwilligen, dass wir Referenzen einholen.
Des Weiteren beschaffen wir auch Personendaten zur Einhaltung der geltenden Gesetze (z.B. steuerrechtliche Pflichten) sowie im Bereich des Risikomanagements und der Unternehmensführung (inkl. Compliance). Ausserdem können wir Personendaten für die Organisation, die Durchführung und die Nachbereitung von Anlässen bearbeiten, wie ins-besondere Teilnehmendenlisten und Inhalte von Referaten und Diskussionen, aber auch Bild- und Audioaufnahmen, die während diesen Anlässen erstellt werden. Auch die Wahrung weiterer berechtigter Interessen gehört zu den weiteren Zwecken, die sich nicht abschliessend nennen lassen.
4 Woher stammen die Daten?
Der Grossteil der von uns bearbeiteten Daten geben Sie uns selbst bekannt (z.B. im Zusammenhang mit unseren Dienstleistungen, der Nutzung unserer Website, oder der Kommunikation mit uns).Wir können auch Daten aus öffentlich zugänglichen Quellen (z.B. Handelsregister, Grundbücher, Medien oder dem Internet inkl. Social Media) entnehmen oder erhalten diese von (i) Behörden, (ii) Ihrem Arbeit- oder Auftraggebenden, der mit uns entweder in einer geschäftlichen Beziehung steht oder anderweitig zu tun hat, sowie von (iii) sonstigen Dritten (z.B. Kund*innen, Verbände, Vertragsparteien). Dazu gehören insbesondere die Daten, die wir im Rahmen der Anbahnung, dem Abschluss und der Abwicklung von Verträgen bearbeiten sowie Daten aus der Korrespondenz und Besprechungen mit Dritten, aber auch alle anderen Kategorien von Daten gemäss Ziff. 3.
5 Wem geben wir Ihre Daten bekannt?
Im Zusammenhang mit den in Ziff. 3 aufgeführten Zwecken übermitteln wir Ihre Personendaten insbesondere an die untenstehenden Kategorien von empfangenden Parteien. Sofern erforderlich, holen wir dafür Ihre Einwilligung ein.Dienstleistungserbringende: Wir arbeiten mit Dienstleistungserbringenden im In- und Ausland zusammen, die (i) in unserem Auftrag (z.B. IT-Provider), (ii) in gemeinsamer Verantwortung mit uns oder (iii) in eigener Verantwortung Daten bearbeiten, die sie von uns erhalten oder für uns erhoben haben. Zu diesen Dienstleistungserbringenden gehören z.B. IT-Provider, Banken, Versicherungen oder andere Beratungsunternehmen. Wir vereinbaren mit diesen Dritten in der Regel Verträge über die Nutzung und den Schutz der Personendaten. Derzeit können wir insbesondere Angebote der folgenden Dienstleistungserbringende verwenden:
• Microsoft
Anbietende Partei: Microsoft Corporation (USA) / Microsoft Ireland Operations Limited (Irland) für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR), in Grossbritannien und in der Schweiz.
Datenschutzhinweise: privacy.microsoft.com/de-de
Zweck: Nutzung Betriebssystem Windows und das Büro-Softwarepaket Office.
• SurveyMonkey
Anbietende Partei: Momentive Inc., Momentive Europe UC.
Datenschutzhinweise: www.surveymonkey.de/mp/legal/privacy/
Zweck: Durchführung von Online-Umfragen.
• Mural
Anbietende Partei: Tactivos Inc. für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz.
Datenschutzhinweise: assets.website-files.com/62e11362da2667ac3d0e6ed5/6426e114f97c791539e0d7f9_Mural%20Global%20Multi-Product%20Privacy%20Statement.pdf
Zweck: Digitaler Arbeitsraum für die Zusammenarbeit in Online-Workshops.
• Mentimeter
Anbietende Partei: Mentimeter AB, Tulegatan 11, SE-113 86 Stockholm für Nutzerinnen und Nutzer im Europäischen.
Datenschutzhinweise: www.mentimeter.com/de-DE/dpa-statement
Zweck: Computerprogramm bzw. App für Echtzeitfeedback während einer Präsentation.
Kund*innen und andere Vertragsparteien: Gemeint sind zunächst Kund*innen und andere Vertragsparteien von uns, bei welchen sich eine Übermittlung Ihrer Daten aus dem Vertrag ergibt (z.B. weil Sie für eine Vertragspartei tätig sind oder diese Leistungen für Sie erbringt). Zu dieser Kategorie von empfangenden Parteien gehören auch Stellen, mit denen wir kooperieren. Die empfangenen Parteien bearbeiten die Daten grundsätzlich in eigener Verantwortlichkeit.
Behörden: Wir können Personendaten an Ämter und andere Behörden im In- und Ausland weitergeben, wenn dies für die Erfüllung unserer vertraglichen Pflichten und insbesondere zur Mandatsführung notwendig ist, oder wenn wir dazu rechtlich verpflichtet oder berechtigt sind oder dies zur Wahrung unserer Interessen als erforderlich erscheint. Diese empfangenden Parteien bearbeiten die Daten in eigener Verantwortlichkeit.
Weitere Personen: Gemeint sind andere Fälle, wo sich der Einbezug von Dritten aus den Zwecken gemäss Ziff. 3 ergibt. Das betrifft z.B. im Rahmen des Beratungsmandates beteiligte Personen, z.B. Expert*innen oder Referent*innen. Im Rahmen der Unternehmensentwicklung können wir Betriebsteile oder Vermögenswerte verkaufen oder erwerben oder Partnerschaften eingehen, was auch die Bekanntgabe von Daten (auch von Ihnen, z.B. als Klient*in oder liefernde Partei oder als deren Vertretende) an die an diesen Transaktionen beteiligten Personen zur Folge haben kann.
Alle diese Kategorien von empfangenden Parteien können ihrerseits Dritte beiziehen, so dass Ihre Daten auch diesen zugänglich werden können. Die Bearbeitung durch bestimmte Dritte können wir beschränken (z.B. IT-Provider), jene anderer Dritter aber nicht (z.B. Behörden, Banken etc.).
6 Gelangen Ihre Personendaten auch ins Ausland?
Wir bearbeiten und speichern Personendaten hauptsächlich in der Schweiz und im Europäischen Wirtschaftsraum (EWR), je nach Fall – beispielsweise über unsere Dienstleistende oder der unterbeauftragten Partei unserer Dienstleistenden – aber potenziell in jedem Land der Welt. Auch im Rahmen unserer Tätigkeit für Kund*innen können Ihre Personendaten in jedes Land der Welt gelangen.Befindet sich eine empfangende Partei in einem Land ohne angemessenen Datenschutz, verpflichten wir die empfangende Partei vertraglich zur Einhaltung eines ausreichenden Datenschutzniveaus, soweit diese nicht bereits einem gesetzlich anerkannten Regelwerk zur Sicherstellung des Datenschutzes unterliegt. Auch können wir Personendaten in ein Land ohne angemessenen Datenschutz bekanntgeben, ohne dafür einen eigenen Vertrag zu schliessen, wenn wir uns hierfür auf eine Ausnahmebestimmung stützen können.
7 Welche Rechte haben Sie?
Sie haben im Zusammenhang mit unserer Datenbearbeitung gewisse Rechte. Sie können nach anwendbarem Recht insbesondere Auskunft über die Bearbeitung Ihrer Personendaten verlangen, unrichtige Personendaten korrigieren lassen, die Löschung von Personendaten verlangen, Widerspruch gegen eine Datenbearbeitung erheben, die Herausgabe bestimmter Personendaten in einem gängigen elektronischen Format oder ihreÜbertragung an andere Verantwortliche verlangen.
Wenn Sie uns gegenüber Ihre Rechte ausüben wollen, wenden Sie sich an uns; unsere Kontaktangaben finden Sie in Ziff. 2. Damit wir einen Missbrauch ausschliessen können, müssen wir Sie identifizieren (z.B. mit einer Ausweiskopie, falls nötig).
Bitte beachten Sie, dass für diese Rechte Voraussetzungen, Ausnahmen oder Einschränkungen gelten (z.B. zum Schutz von Dritten oder von Geschäftsgeheimnissen oder aufgrund unserer beruflichen Schweigepflicht). Wir behalten uns vor, Kopien aus daten-schutzrechtlichen Gründen oder Gründen der Geheimhaltung zu schwärzen oder nur auszugsweise zu liefern.
8 Wie werden bei unserer Website und übrigen digitalen Diensten Cookies, ähnliche Technologien und Social-Media-Plug-ins eingesetzt?
Bei der Nutzung unserer Website fallen Daten an, die in Protokollen gespeichert werden (insbesondere technische Daten). Zudem können wir Cookies und ähnliche gängige Techniken einsetzen, um Website-Besuchende wiederzuerkennen, ihr Verhalten auszuwerten und Präferenzen zu erkennen. Ein Cookie ist eine kleine Datei, die zwischen dem Server und Ihrem System übermittelt wird und die Wiedererkennung eines bestimmten Geräts oder Browsers ermöglicht.Sie können Ihren Browser so einstellen, dass dieser Cookies automatisch ablehnt, akzeptiert oder löscht. Sie können auch Cookies im Einzelfall deaktivieren oder löschen. Wie Sie die Cookies in Ihrem Browser verwalten können, erfahren Sie im Hilfemenü Ihres Browsers.
Wir nutzen auch Social Media-Plug-Ins, das sind Softwarebausteine, die eine Verbindung zwischen Ihrem Besuch auf unserer Website und einer drittanbietenden Partei herstellen. Das Social Media-Plug-in teilt der drittanbietenden Partei mit, dass Sie unsere Website besucht haben, und kann der drittanbietenden Partei Cookies übermitteln, die dieser zuvor auf Ihrem Webbrowser platziert hat. Weitere Informationen darüber, wie drittanbietende Parteien Ihre über Ihre Social Media-Plug-ins gesammelten Personendaten verwenden, finden Sie in ihren jeweiligen Datenschutzerklärungen.
Daneben nutzen wir eigene Tools sowie Dienste von drittanbietenden Parteien (welche ihrerseits Cookies einsetzen können) auf unserer Website, insbesondere um die Funktionalität oder den Inhalt unserer Website zu verbessern (z.B. Integration von Videos oder Karten) oder Statistiken zu erstellen
Derzeit können wir insbesondere Angebote von Google Analytics verwenden, wobei ihre Kontaktdaten und weitere Informationen zu den einzelnen Datenbearbeitungen in der jeweiligen Datenschutzerklärung abrufbar ist (Datenschutzhinweise: support.google.com/analytics/answer/6004245; Informationen für Google-Konten: policies.google.com/technologies/partner-sites?hl=de). Anbieter ist Google Irland (Sitz in Irland); Google Irland stützt sich dabei auf Google LLC (mit Sitz in den USA) als Auftragsbearbeiter.
Einige der von uns eingesetzten drittanbietenden Parteien befinden sich möglicherweise ausserhalb der Schweiz. Informationen zur Datenbekanntgabe ins Ausland finden Sie unter Ziff. 6. In datenschutzrechtlicher Hinsicht sind sie teilweise «nur»
Auftragsbearbeitende von uns und teilweise verantwortliche Stellen. Weitere Hinweise hierzu enthalten die Datenschutzerklärungen dieser Dienstleistenden.
9 Wie bearbeiten wir Personendaten auf unseren Seiten in sozialen Netzwerken?
Wir betreiben auf sozialen Netzwerken und anderen von drittanbietenden Parteien betriebenen Plattformen Seiten und sonstige Online-Präsenzen und bearbeiten in diesem Zusammenhang Daten über Sie. Dabei erhalten wir Daten von Ihnen (z.B. wenn Sie mit uns kommunizieren oder unsere Inhalte kommentieren) und von Dritten betriebenen Plattformen (z.B. Statistiken). Die Anbietenden der Plattformen können Ihre Nutzung analysieren und diese Daten zusammen mit anderen Daten, die ihnen über Sie vorliegen, bearbeiten. Sie bearbeiten diese Daten auch für ihre eigenen Zwecke (z.B. Marketing- und Marktforschungszwecke und zur Verwaltung ihrer Plattformen), und handeln zu diesem Zweck als eigene Verantwortliche. Weitere Informationen zur Bearbeitung durch die Plattformbetreibenden entnehmen Sie bitte den Datenschutzerklärungen der jeweiligen Plattformen.Wir nutzen die Plattform LinkedIn, wobei die Identität und Kontaktdaten des Plattformbetreibenden jeweils in der Datenschutzerklärung abrufbar sind (www.linkedin.com; Datenschutzerklärung: de.linkedin.com/legal/privacy-policy).
Wir sind berechtigt, aber nicht verpflichtet, Fremdinhalte vor oder nach ihrer Veröffentlichung auf unseren Online-Präsenzen zu überprüfen, Inhalte ohne Ankündigung zu löschen und sie gegebenenfalls dem Anbietenden der betreffenden Plattform zu melden.
Einige der Plattformbetreibenden befinden sich möglicherweise ausserhalb des Schweiz. Informationen zur Datenbekanntgabe ins Ausland finden Sie unter Ziff. 6.
10 Was ist weiter zu beachten?
Wir gehen nicht davon aus, dass die EU-Datenschutzgrundverordnung («DSGVO») in unserem Fall anwendbar ist. Sollte dies jedoch ausnahmsweise für bestimmte Datenbearbeitungen so sein, so gilt ausschliesslich für die Zwecke der DSGVO und der ihr unterliegenden Datenbearbeitungen zusätzlich diese Ziff. 10.Wir stützen die Bearbeitung Ihrer Personendaten insbesondere darauf, dass:
• sie wie in Ziff. 3 beschrieben für die Anbahnung und den Abschluss von Verträgen und dessen Verwaltung und Durchsetzung (Art. 6 Abs. 1 lit. b DSGVO) erforderlich ist;
• sie erforderlich ist zur Wahrung berechtigter Interessen von uns oder von Dritten wie in Ziff. 3 beschrieben, namentlich für die Kommunikation mit Ihnen oder Dritten, um unsere Website zu betreiben, für die Verbesserung unserer elektronischen Angebote und die Registrierung für bestimmte Angebote und Dienstleistungen, für Sicherheitszwecke, für die Einhaltung schweizerischen Rechts und interner Regularien für unser Risikomanagement und die Unternehmensführung und für weitere Zwecke wie etwa Schulung und Ausbildung, Administration, Beweis- und Qualitätssicherung, Organisation, Durchführung und Nachbereitung von Anlässen und zur Wahrung weiterer berechtigter Interessen (dazu Ziff. 3) (Art. 6 Abs. 1 lit. f DSGVO);
• sie aufgrund unseres Auftrags oder unserer Stellung nach dem Recht des EWR bzw. eines Mitgliedsstaats gesetzlich vorgeschrieben oder erlaubt ist (Art. 6 Abs. 1 lit. c DSGVO) oder erforderlich ist, um Ihre Privatsphäre oder jene von anderen Interessen oder jene von anderen natürlichen Personen zu schützen (Art. 6 Abs. 1 lit. d DSGVO);
• Sie in die Bearbeitung separat eingewilligt haben (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO).
Wir weisen Sie darauf hin, dass wir Ihre Daten grundsätzlich so lange bearbeiten, wie es unsere Bearbeitungszwecke (vgl. Ziff. 3), die gesetzlichen Aufbewahrungsfristen und unsere berechtigten Interessen, insbesondere zu Dokumentationszwecken, es verlangen oder eine Speicherung technisch bedingt ist (z.B. im Falle von Backups oder
Dokumentenmanagementsystemen). Stehen keine rechtlichen oder vertraglichen Pflichten oder technische Gründe entgegen, löschen oder anonymisieren wir Ihre Daten grundsätzlich nach Ablauf der Speicher- oder Bearbeitungsdauer im Rahmen unserer üblichen Abläufe und in Einklang mit unserer Aufbewahrungsrichtlinie.
Sofern Sie bestimmte Personendaten nicht nennen, kann dies dazu führen, dass die Erbringung der damit zusammenhängenden Dienstleistungen oder ein Vertragsabschluss nicht möglich ist. Wir geben grundsätzlich an, wo von uns verlangte Personendaten zwingend sind.
Sofern Sie mit unserem Umgang mit Ihren Rechten oder dem Datenschutz nicht einverstanden sind, teilen Sie uns das bitte mit (vgl. Kontaktangaben in Ziff. 2). Wenn Sie sich im EWR befinden, haben Sie zudem das Recht, sich bei der Datenschutz-Aufsichtsbehörde Ihres Landes zu beschweren. Eine Liste der Behörden im EWR finden Sie hier: edpb.europa.eu/about-edpb/board/members_de.