Datenschutzerklärung

Datenschutzrichtlinie der Hotel-Restaurant Emshorn AG

Allgemeines

  1. Einleitung
    1. Vorhandene Daten sind gegen unbefugte Zugriffe und andere Gefährdungen zu schützen.
    2. Die Gäste, Kunden, Geschäftspartner und Mitarbeitenden erwarten, dass die anvertrauten Daten besonders geschützt werden und ein sorgsamer Umgang mit ihnen erfolgt.
    3. Die Datenschutzrichtlinie ist vom Mitarbeitenden zu unterzeichnen. Dem Mitarbeitenden wird ein Doppel ausgehändigt.

2.       Ziel der Datenschutzrichtlinie

2.1     Mit der Datenschutzrichtlinie werden einheitliche Standards für den Datenschutz geschaffen.

2.2     Durch die Einhaltung der in dieser Datenschutzrichtlinie definierten Standards wird den datenschutzrechtlichen Verpflichtungen nachgekommen und für eine ausreichende Berücksichtigung der Interessen sowie Rechte der betroffenen Personen gesorgt.

2.3     Die Beachtung dieser Datenschutzrichtlinie ist Voraussetzung für den sicheren Austausch von Personendaten innerhalb des Betriebes sowie auch mit Dritten.

3.       Anwendungsbereich der Datenschutzrichtlinie

3.1     Die Datenschutzrichtlinie gilt für jegliche Bearbeitung von Personendaten, wobei insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten erfasst werden. Sie findet auf sämtliche Arten von Personendaten, insbesondere Daten von Mitarbeitenden, Gästen, Lieferanten und anderen Geschäftspartnern, Anwendung.

3.2     Die Datenschutzrichtlinie beschreibt, konkretisiert bzw. ergänzt dabei auch gesetzliche Vorgaben, namentlich solche aus dem Schweizer Datenschutzgesetz (DSG).

4.       Definitionen

    1. Personendaten im Sinne des DSG und dieser Unternehmensrichtlinie sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
    2. Betroffene Personen sind diejenigen natürlichen Personen, über die Personendaten bearbeitet werden.
    3. Besonders schützenswerte Personendaten sind
  • Daten über religiöse, weltanschauliche, politische oder gewerkschaftliche Ansichten oder Tätigkeiten;
  • Daten über die Gesundheit, die Intimsphäre oder die Zugehörigkeit zu einer Rasse oder Ethnie;
  • genetische Daten;
  • biometrische Daten, die eine natürliche Person eindeutig identifizieren;
  • Daten über verwaltungs- und strafrechtliche Verfolgungen oder Sanktionen;
  • Daten über Massnahmen der sozialen Hilfe.

4.4    Bearbeiten ist jeder Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Speichern, Aufbewahren, Verwenden, Bekanntgeben, Archivieren, Löschen oder Vernichten von Daten.

4.5     Bekanntgeben ist das Übermitteln oder Zugänglichmachen von Personendaten.

4.6     Eine Verletzung der Datensicherheit ist eine Verletzung der Sicherheit, die dazu führt, dass Personendaten unbeabsichtigt oder widerrechtlich verlorengehen, gelöscht, vernichtet oder verändert werden oder Unbefugten offengelegt oder zugänglich gemacht werden.

4.4     Verantwortlicher ist eine private Person, die allein oder zusammen mit anderen über den Zweck und die Mittel der Bearbeitung entscheidet.

4.5     Auftragsbearbeiter ist ein Dritter, der im Auftrag des Verantwortlichen Personendaten bearbeitet.

Grundregeln der Datenbearbeitung

5.       Rechtmässigkeit

Personendaten müssen rechtmässig bearbeitet werden. Die Bearbeitung gilt nur als rechtmässig, wenn sie durch:

  • Einwilligung der betroffenen Person;
  • ein überwiegendes privates oder öffentliches Interesse oder
  • Gesetz gerechtfertigt ist.

6.       Transparenz

Die Bearbeitung der Daten muss grundsätzlich so erfolgen, dass sie der betroffenen Person bekannt ist.

7.       Verhältnismässigkeit

7.1     Bei der Bearbeitung von Personendaten ist der Grundsatz der Verhältnismässigkeit zu beachten. Gemäss diesem Grundsatz dürfen nur solche Daten erhoben werden, die für den entsprechenden Zweck notwendig und geeignet sind.

7.2     Personendaten dürfen nur so lange gespeichert werden, wie dies für den Zweck notwendig ist (vgl. Art. 8 Datenschutzrichtlinie).

8.       Zweckbindung

8.1     Personendaten dürfen nur zu einem bestimmten und für die betroffene Person erkennbaren Zweck beschaffen werden. An ihnen dürfen nur Bearbeitungen vorgenommen werden, die mit diesem Zweck vereinbar sind.

8.2     Werden die Personendaten zum Zweck der Bearbeitung nicht mehr benötigt, müssen diese vernichtet oder anonymisiert werden.

9.       Richtigkeit

9.1     Alle Mitarbeitenden haben darauf zu achten, dass Personendaten richtig sind und auf dem neuesten Stand gehalten werden.

9.2     Es müssen alle angemessenen Massnahmen getroffen werden, um unzutreffende oder unvollständige Daten zu berichtigen oder zu vernichten.

10.     Datensicherheit

10.1   Es ist von grosser Bedeutung, dass die Sicherheit der Daten jederzeit gewährleistet wird. Vor diesem Hintergrund sind die Personendaten durch technische und organisatorische Massnahmen u.a. gegen Verlust, gegen unbefugten Zugriff und vor anderen Gefahren zu schützen.

10.2   Für die einzelnen Vorgänge der Datenbearbeitung sind die konkreten Schutzmassnahmen zu dokumentieren und auf ihre Angemessenheit zu überprüfen.

10.3   Es können weitergehende Vorgaben im Interesse der Datensicherheit erlassen werden, insbesondere bezüglich der Nutzung von externen IT-Systemen.

11.     Einwilligung und Widerspruch

11.1   Eine ausdrückliche Einwilligung der betroffenen Person zur Datenbearbeitung ist für die Bearbeitung besonders schützenswerter Personendaten nötig (Art. 6 Abs. 7 lit. a DSG).

11.2   Widerspricht die betroffene Person einer Datenbearbeitung ausdrücklich, ist diese nur gerechtfertigt, wenn überwiegende Interessen des Verantwortlichen oder eine gesetzliche Grundlage vorliegen.

12.     Informationspflicht

12.1   Betroffene Personen müssen möglichst vorgängig informiert werden, zu welchem Zweck Personendaten über sie erhoben und bearbeitet werden. Werden die Daten nicht direkt bei der betroffenen Person beschaffen, wird diese innert eines Monats nach Erhalt der Daten informiert.

12.2   Macht die betroffene Person ihre Personendaten dem Verantwortlichen von sich aus zugänglich, gilt sie als informiert.

12.3   Wenn sich der Zweck der Datenbearbeitung ändert, müssen bereits informierte Personen erneut informiert werden.

13.     Auftragsbearbeitung

Werden Dienstleister beauftragt Personendaten zu verarbeiten (sog. Auftragsbearbeiter), ist zu beachten, dass der Auftragsbearbeiter die gleichen Sorgfaltsanforderungen beachten muss. Insbesondere sind die Zweckbindung und Datensicherheit vertraglich sicherzustellen.

14.     Übermittlung von Personendaten ins Ausland

Die Übermittlung von Personendaten ins Ausland ist nur in Staaten zulässig, in denen durch den Bundesrat ein ähnlich hohes Datenschutzniveau festgestellt wurde, wie in der Schweiz. Eine Einhaltung des Schweizer Datenschutzstandards kann zudem unter anderem durch den Abschluss zusätzlicher vertraglicher Vereinbarungen erreicht werden.

Innerbetriebliche Prozesse

15.     Anforderungen an Mitarbeitende

15.1   Alle Mitarbeitenden sind dem Datenschutz verpflichtet. Sie werden namentlich darüber informiert, dass es untersagt ist, Personendaten für private Zwecke zu nutzen, an Unbefugte zu übermitteln oder sie Unbefugten zugänglich zu machen. Die Pflicht zur Wahrung der Vertraulichkeit gilt über das Ende der Anstellung hinaus.

15.2   Auch innerhalb des Betriebes ist darauf zu achten, dass nur Mitarbeitende Zugriff auf Personendaten erhalten, die sie zur Erledigung ihrer Aufgaben benötigen.

15.3   Die Mitarbeitenden sollen zu Beginn ihrer Anstellung und nachfolgend regelmässig in Datenschutzthemen geschult und sensibilisiert werden.

16.     Datenschutz durch Technik, datenschutzfreundliche Voreinstellungen sowie Datenschutz-Folgeabschätzung

16.1   Zur Bearbeitung von Personendaten genutzte Systeme sind von Anfang an so zu gestalten, dass der Datenschutz eingehalten werden kann. Die technischen und organisatorischen Massnahmen müssen insbesondere dem Stand der Technik, der Art und dem Umfang der Datenbearbeitung sowie dem Risiko, das die Bearbeitung für die Persönlichkeit oder die Grundrechte der betroffenen Personen mit sich bringt, angemessen sein (Privacy by Design).

16.2   Die Verantwortlichen haben die Standardeinstellung am Gerät bzw. an der Software so zu wählen, dass die Bearbeitung der Personendaten auf das für den Verwendungszweck nötige Mindestmass beschränkt ist, soweit die betroffene Person nicht etwas anderes bestimmt. Dies betrifft bspw. die Zustimmung zu Cookies auf der Webseite.

16.3   Birgt eine geplante Datenschutzbearbeitung ein hohes Risiko für die Persönlichkeit und die Grundrechte betroffener Personen, ist eine Datenschutz-Folgeabschätzung (DSFA) nach Art. 22 DSG vorzunehmen und zu dokumentieren.

Rechte der betroffenen Personen

17.     Auskunftsrecht

17.1   Auf Anfrage ist einer betroffenen Person mitzuteilen, ob Personendaten über sie bearbeitet werden. Sofern dies der Fall ist, hat die betroffene Person einen Anspruch auf Auskunft über die entsprechenden Personendaten.

Beim Auskunftsrecht geht es darum, in Erfahrung zu bringen, ob Personendaten bearbeitet werden und wenn ja, welche, sodass die betroffene Person ihre weiteren Rechte geltend machen kann. Dazu gehören neben den bearbeiteten Personendaten als solche, Angaben zur Identität des Verantwortlichen, zum Bearbeitungszweck, zur Aufbewahrungsdauer, zur Datenherkunft und gegebenenfalls Informationen über automatisierte Einzelentscheide und die Empfänger (auch als Kategorien).

17.2   Bei der Auskunftserteilung ist sicherzustellen, dass die Identität der betroffenen Person verifiziert wird. Weiter ist zu beachten, dass im Rahmen der Auskunftserteilung keine Personendaten Dritter offenbart werden. Die Auskunft ist in der Regel kostenlos und innert 30 Tagen zu erteilen.

18.     Datenportabilität / Recht auf Datenherausgabe und Datenübertragung

Betroffene Personen können ihre Daten, die sie bekannt gegeben haben, in einem gängigen elektronischen Format herausverlangen, wenn die Daten automatisiert bearbeitet werden und die betroffene Person zur Bearbeitung eingewilligt hat oder die Bearbeitung im Rahmen eines entsprechenden Vertrags erfolgt.

19.     Recht auf Berichtigung

Eine betroffene Person kann nach Art. 32 Abs. 1 DSG verlangen, dass unrichtige Personendaten berichtigt werden.

20.     Recht auf Datenlöschung

Wenn Personendaten entgegen der ausdrücklichen Willenserklärung der betroffenen Person bearbeitet werden und keine gesetzliche Grundlage und kein überwiegendes privates Interesse Dritter besteht, kann die betroffene Person die Löschung ihrer Personendaten verlangen.

Zuständigkeit

21.     Verantwortung

21.1   In erster Linie sind diejenigen Mitarbeitenden für die Einhaltung der Vorgaben dieser Datenschutzrichtlinie verantwortlich, die jeweils mit der Datenbearbeitung betraut sind.

21.2   Alle Mitarbeitenden haben sich an diese Datenschutzrichtlinie zu halten und auf diese Weise dazu beizutragen, dass überall im Betrieb einheitlich hohe Datenschutzstandards etabliert werden.

21.3   Werden gesetzliche datenschutzrechtliche Pflichten verletzt, drohen den Fehlbaren strafrechtliche und dem Betrieb zivilrechtliche Konsequenzen sowie Reputationsschäden. Strafrechtlich verantwortlich ist in erster Linie die natürliche Person, d.h. der vorsätzlich fehlbare Mitarbeitende. Datenschutzverletzungen können auch betriebsintern disziplinarische Konsequenzen haben.

22.     Meldung von Verstössen und Zusammenarbeit mit Aufsichtsbehörden

22.1   Mitarbeitende haben dem Vorgesetzten unverzüglich Bericht zu erstatten, wenn sie Kenntnis von einem Verstoss gegen diese Datenschutzrichtlinie oder gesetzliche Bestimmungen haben, die sich auf den Schutz personenbezogener Daten beziehen.

22.2   Verletzungen der Datensicherheit (z.B. Offenlegung für Unbefugte, Datenverlust, Cyberangriff etc.), die für die Betroffenen zu einem hohen Risiko für ihre Persönlichkeit oder ihre Grundrechte führen, müssen vom Betrieb dem EDÖB «so rasch als möglich», also zeitnah, gemeldet werden.

Weitere Bestimmungen

23.     Publizität

   Eine allgemeine Veröffentlichung dieser Datenschutzrichtlinie ist nicht vorgesehen.

24.     Änderungen

    1. Es wird das Recht vorbehalten, diese Datenschutzrichtlinie bei Bedarf zu ändern. Eine Änderung kann insbesondere erforderlich werden, um gesetzlichen Vorgaben, Forderungen der Aufsichtsbehörden oder betriebsinternen Verfahren zu entsprechen.
    2. In regelmässigen Abständen soll auch geprüft werden, inwieweit technologische Veränderungen eine Anpassung dieser Datenschutzrichtlinie erforderlich machen.

 

Oberems, Version per 1. September 2023