Verantwortlicher Verantwortlich für die Bearbeitung von Personendaten im Sinne des anwendbaren Datenschutzrechts ist: Sommer Systems – Yannic Sommer (Schweiz) E-Mail: info@sommer-systems.ch Telefon: +41 79 703 02 94
1, Geltungsbereich Diese Datenschutzerklärung gilt für die Nutzung der Website sommer-systems.ch und ihrer Unterseiten. Sie gilt ausserdem für jede Kontaktaufnahme per E-Mail, Telefon, Kontaktformular, WhatsApp oder über andere angebotene Kommunikationswege.
Erfasst sind zudem Offerten, Aufträge, Projekte, Supportleistungen, Fernwartung, bereitgestellte Online-Dienste, Benutzerkonten, Demo- und Testzugänge sowie KI-, Dokumenten-, Such-, OCR- und Assistenzfunktionen, die selbst betrieben oder im Rahmen von Projekten für Kundinnen, Kunden und Geschäftspartner bereitgestellt oder umgesetzt werden.
Soweit projektbezogene Anwendungen oder Zugänge unter eigenen Domains oder Subdomains betrieben werden, etwa unter ai.sommer-systems.ch, auth.sommer-systems.ch, food.sommer-systems.ch oder ähnlichen Adressen, gilt diese Datenschutzerklärung auch dafür.
2. Grundsätze und Rechtsgrundlagen Sommer Systems bearbeitet Personendaten nach den Vorgaben des anwendbaren Datenschutzrechts, insbesondere nach dem schweizerischen Datenschutzgesetz. Die Bearbeitung erfolgt nach Treu und Glauben, transparent, verhältnismässig und zweckgebunden. Personendaten werden nur bearbeitet, soweit dies für die Vorbereitung, Durchführung, Dokumentation, Sicherung und Weiterentwicklung der angebotenen Leistungen erforderlich ist, eine gesetzliche Pflicht besteht oder eine Einwilligung vorliegt.
Soweit zusätzlich die Datenschutzgrundverordnung der Europäischen Union (DSGVO) anwendbar ist, stützt sich die Bearbeitung – je nach Situation – insbesondere auf folgende Grundlagen:
– Durchführung vorvertraglicher Massnahmen und Erfüllung eines Vertrags – Erfüllung gesetzlicher Pflichten – überwiegende berechtigte Interessen an einem sicheren, zuverlässigen und wirtschaftlich sinnvollen Betrieb – Einwilligung, soweit eine solche im Einzelfall erforderlich ist.
Pflichtangaben in Formularen oder bei Anfragen sind als solche erkennbar oder ergeben sich aus der Natur der angefragten Leistung. Werden notwendige Angaben nicht gemacht, kann eine Anfrage oder Leistung unter Umständen nicht oder nicht vollständig bearbeitet werden.
3. Nutzung der Website Beim Besuch der Website fallen technisch notwendige Daten an, die bei der Nutzung von Webservern und Online-Diensten regelmässig verarbeitet werden. Dazu gehören insbesondere:
– IP-Adresse, – Datum und Uhrzeit des Zugriffs, – aufgerufene Seiten, Dateien und Funktionen, – Angaben zum verwendeten Browser und Gerät, – Betriebssystem, – Referrer-Informationen, – Fehlermeldungen sowie – Sicherheits- und Zugriffsprotokolle.
Diese Daten werden benötigt, um die Website bereitzustellen, Stabilität und Sicherheit zu gewährleisten, Fehler zu analysieren, Missbrauch abzuwehren und den technischen Betrieb nachvollziehbar sicherzustellen.
Protokoll- und Zugriffsdaten werden in der Regel bis zu sechs Monate aufbewahrt. Eine längere Aufbewahrung ist möglich, wenn dies aus Gründen der IT-Sicherheit, zur Beweissicherung, zur Abwehr von Missbrauch, zur Durchsetzung oder Abwehr rechtlicher Ansprüche oder zur Erfüllung gesetzlicher Pflichten erforderlich ist.
4. Cookies und vergleichbare Technologien Nach heutigem Stand werden keine Tracking- oder Marketing-Tools zu Werbezwecken eingesetzt. Soweit technisch notwendig, können jedoch Cookies oder vergleichbare Technologien verwendet werden, damit Website, Formulare, Sitzungen, Login- oder Single-Sign-on-Funktionen und andere technisch erforderliche Abläufe zuverlässig funktionieren.
Solche Technologien dienen dem Betrieb, der Sicherheit und der Benutzerfreundlichkeit der Angebote. Sie dienen nicht dem Aufbau unnötiger Werbeprofile. Browser lassen sich in der Regel so konfigurieren, dass Cookies eingeschränkt oder gelöscht werden können. Dies kann die Funktionalität einzelner Angebote beeinträchtigen.
5. Kontaktaufnahme und Erstgespräch Bei einer Kontaktaufnahme oder bei der Anfrage eines unverbindlichen Erstgesprächs werden die Daten bearbeitet, die mitgeteilt werden. Dazu gehören insbesondere Name, E-Mail-Adresse, Telefonnummer, Inhalt der Nachricht, gewünschter Kontaktweg, gewünschter Tag oder Zeitrahmen für eine Kontaktaufnahme sowie weitere freiwillig übermittelte Angaben. Diese Daten werden verwendet, um Anfragen zu prüfen, zu beantworten, Termine zu vereinbaren, vorvertragliche Abklärungen vorzunehmen und eine allfällige spätere Zusammenarbeit vorzubereiten.
Reine Anfragen ohne anschliessenden Auftrag werden grundsätzlich bis zu zwölf Monate nach Abschluss der Kommunikation aufbewahrt. Eine längere Aufbewahrung kann erfolgen, wenn sich aus der Anfrage eine Offerte, eine spätere Zusammenarbeit, eine Rückfrage oder eine rechtliche Aufbewahrungspflicht ergibt.
6. Kommunikation per Messenger, E-Mail und Telefon Bei Kommunikation per Messenger werden Inhalte der Kommunikation sowie begleitende Metadaten auch durch den jeweiligen Kommunikationsanbieter bearbeitet. Dazu gehören je nach Dienst insbesondere Angaben zu Absender und Empfänger, Zeitpunkt, Verbindungsdaten, Nutzungsdaten und technische Randinformationen. Solche Kanäle werden nur für die Kommunikation auf dem gewünschten oder sachlich naheliegenden Weg genutzt.
Auch bei E-Mails und telefonischen Kontakten werden die Angaben bearbeitet, die im Rahmen der Kommunikation anfallen oder mitgeteilt werden. Dies dient der Bearbeitung des Anliegens, der Dokumentation von Absprachen und der geordneten Fortführung der Kommunikation. Für besonders sensible Inhalte empfiehlt sich nach Möglichkeit ein vorgängig abgestimmter Kommunikationsweg.
7. Offerten, Aufträge, Projekte und Support Im Rahmen von Offerten, Aufträgen, Projekten und Supportleistungen werden diejenigen Personendaten bearbeitet, die zur seriösen Vorbereitung, Durchführung und Nachbearbeitung der Leistungen erforderlich sind. Dazu gehören insbesondere Kontakt- und Vertragsdaten, Offert- und Bestelldaten, Abrechnungs- und Zahlungsdaten, Projektinformationen, Supportangaben, Dokumentationen, Konfigurationen, Systemübersichten sowie technische Angaben zu Geräten, Netzwerken, Zugängen und Betriebszuständen. Soweit es für Fehleranalyse, Nachvollziehbarkeit, Stabilisierung oder Sicherheit erforderlich ist, können auch Protokolle, Logauszüge, Zustandsdaten und Nachweise bearbeitet werden. Diese Bearbeitungen dienen insbesondere der Bedarfsaufnahme, Beratung, Offertstellung, Evaluation, Beschaffung, Vertragsabwicklung, Projektumsetzung, Fehleranalyse, Dokumentation, Qualitätssicherung und Weiterbetreuung.
Solche Daten werden so lange aufbewahrt, wie dies für den jeweiligen Zweck, für die technische Nachvollziehbarkeit, für Gewährleistungsfragen, für die Buchführung oder zur Erfüllung gesetzlicher Pflichten erforderlich ist. Rechnungs- und Buchhaltungsunterlagen werden in der Regel zehn Jahre aufbewahrt.
8. Fernwartung und Remote Support Soweit vereinbart oder erforderlich, werden Supportleistungen auch per Fernzugriff erbracht. Dabei können vorübergehend Bildschirminhalte, Dateiansichten, Konfigurationen, Systemzustände, Verbindungsdaten oder andere technisch relevante Informationen sichtbar werden oder bearbeitet werden, soweit dies für Analyse, Fehlerbehebung, Konfiguration, Stabilisierung oder Unterstützung notwendig ist.
Fernzugriffe erfolgen nicht zum Selbstzweck, sondern ausschliesslich zur effizienten Leistungserbringung im konkreten Supportfall. Gleichwohl lässt sich bei Remote Support nie vollständig ausschliessen, dass Einblick in Informationen möglich ist, die im betroffenen Systemumfeld vorhanden sind. Besonders sensible Inhalte sollten deshalb nach Möglichkeit vorab geschlossen oder anders abgesprochen werden, wenn dies im Einzelfall angezeigt ist.
9. Online-Dienste, Benutzerkonten und Demo- oder Testzugänge Wenn ein Online-Dienst, ein Benutzerkonto, ein Testzugang oder ein Demo-Zugang bereitgestellt wird, werden insbesondere Einladungs- und Kontaktdaten, Registrierungs- und Kontodaten, Benutzername, Name und E-Mail-Adresse, Rollen, Gruppen, Berechtigungen, Freischaltungen sowie Login-, Sitzungs-, Sicherheits- und Auditdaten bearbeitet. Hinzu kommen dienstbezogene Nutzungsdaten, soweit sie für Betrieb, Administration, Sicherheit oder Support des jeweiligen Dienstes erforderlich sind. Diese Daten werden verwendet, um Zugänge bereitzustellen, Benutzer zu authentifizieren, Missbrauch zu verhindern, Berechtigungen zu verwalten, Vorfälle nachzuvollziehen und den laufenden Betrieb sicherzustellen.
Konten und Zugänge werden grundsätzlich so lange geführt, wie der jeweilige Zweck besteht. Demo- und Testzugänge werden nach Wegfall des Testzwecks grundsätzlich deaktiviert oder gelöscht, soweit keine Aufbewahrung aus Sicherheits-, Nachweis- oder Rechtsgründen erforderlich ist. Sicherheits- und Auditdaten werden in der Regel bis zu zwölf Monate aufbewahrt, sofern keine längere Aufbewahrung erforderlich ist.
10. Private KI-, Dokumenten-, Such-, OCR- und Assistenzfunktionen Soweit entsprechende Funktionen bereitgestellt oder im Rahmen von Kundenprojekten umgesetzt werden, können insbesondere Eingaben und Anfragen, Chat-Inhalte, hochgeladene Dokumente, Bilder oder Audiodateien sowie daraus entstehende Ausgaben, Zusammenfassungen, OCR-Texte, Analysen und Transkripte bearbeitet werden.
Ebenfalls können Suchanfragen, dokumentbezogene Metadaten sowie technische Metadaten anfallen, die für Betrieb, Sicherheit, Fehleranalyse, Qualitätssicherung und Nachvollziehbarkeit erforderlich sind. Solche Bearbeitungen dienen dazu, die gewünschte Funktion bereitzustellen, Unterlagen durchsuchbar zu machen, Inhalte zu analysieren, Antworten zu erzeugen, Fehler zu erkennen, Systeme zu sichern und den technischen Betrieb sinnvoll weiterzuentwickeln.
Die Aufbewahrungsdauer richtet sich nach dem konkreten Dienst, nach vertraglichen Vereinbarungen, nach Löschvorgängen, nach Sicherheits- und Nachweiserfordernissen sowie nach gesetzlichen Pflichten. Soweit keine abweichende projekt- oder dienstbezogene Regelung gilt, werden Demo- und Testinhalte nach Wegfall des Zwecks gelöscht oder anonymisiert; technische Sicherheits- und Fehlerprotokolle können darüber hinaus gemäss Ziffer 12 aufbewahrt werden.
11. Betriebs-, Sicherheits- und Qualitätsprotokolle Zur Gewährleistung von Stabilität, Sicherheit und Qualität der Website und der Online-Dienste werden technische Protokolle über Nutzung, Fehler, Sicherheit, Logins, Sitzungen, Audits und vergleichbare Vorgänge geführt, soweit dies erforderlich ist.
Solche Protokolle helfen dabei, Störungen einzugrenzen, Fehlverhalten nachzuvollziehen, Missbrauch abzuwehren, Sicherheitsvorfälle zu untersuchen und Systeme gezielt zu verbessern. Soweit für einzelne Systeme keine kürzere Frist gilt, werden solche Protokolle in der Regel bis zu zwölf Monate aufbewahrt. Eine längere Aufbewahrung ist möglich, wenn dies aus Sicherheits-, Nachweis- oder Rechtsgründen erforderlich ist.
12. Herkunft der Personendaten Grundsätzlich werden Personendaten bearbeitet, die direkt von der betroffenen Person erhalten werden. Das ist insbesondere dann der Fall, wenn eine Kontaktaufnahme erfolgt, eine Offerte angefragt, ein Auftrag erteilt, ein Zugang erhalten oder ein Dienst genutzt wird.
Personendaten können jedoch auch indirekt eingehen. Das kann zum Beispiel geschehen, wenn bestehende Kundinnen oder Kunden eine Kontaktaufnahme vermitteln, wenn Geschäftspartner für eine Projektkoordination Angaben übermitteln, wenn jemand für eine andere Person ein Erstgespräch, einen Testzugang oder einen Demo-Zugang anstösst oder wenn öffentlich zugängliche Quellen wie Handelsregister, Unternehmenswebsites oder andere allgemein zugängliche Informationsquellen genutzt werden, soweit dies für Geschäftsanbahnung, Vertragsabwicklung oder Projektkoordination erforderlich ist.
13. Empfänger, Dienstleister und Auftragsbearbeitung Personendaten werden nicht verkauft. Eine Weitergabe erfolgt nur, wenn sie für die Leistungen erforderlich ist, eine gesetzliche Pflicht besteht, sie für die Durchsetzung oder Abwehr von Ansprüchen notwendig ist oder eine Einwilligung vorliegt.
Empfänger können insbesondere Hosting-, Website-, Domain- und E-Mail-Dienstleister sein, aktuell insbesondere Infomaniak. Hinzu kommen DNS-, Sicherheits-, Verbindungs- und Tunnel-Dienstleister, aktuell insbesondere Cloudflare, Kommunikationsanbieter wie WhatsApp, Zahlungs- und Buchhaltungsdienstleister sowie beigezogene Partner, Subunternehmer oder Fachpersonen, soweit dies für die Auftragserfüllung notwendig ist. Je nach Projekt können dazu etwa Elektriker, Handwerker oder IT-Partner gehören.
Eine Bekanntgabe an Behörden, Gerichte oder andere Stellen erfolgt, wenn hierzu eine rechtliche Pflicht besteht oder dies zur Wahrung berechtigter Interessen erforderlich und zulässig ist. Soweit Geschäftskunden im Auftrag unterstützt werden und Daten nicht für eigene Zwecke bearbeitet werden, kann die Bearbeitung auch als Auftragsbearbeitung erfolgen. Falls erforderlich, werden dafür entsprechende Vereinbarungen abgeschlossen oder vertraglich vorgesehene Datenschutzregelungen angewendet.
14. Bekanntgabe ins Ausland Je nach eingesetzten Diensten und Projektkonstellationen kann eine Bearbeitung oder Bekanntgabe von Personendaten auch ausserhalb der Schweiz stattfinden. Dies kann insbesondere Staaten ausserhalb des Europäischen Wirtschaftsraums oder der Schweiz betreffen, namentlich die USA.
In solchen Fällen wird darauf geachtet, dass die gesetzlichen Voraussetzungen für eine zulässige Bekanntgabe eingehalten werden. Soweit erforderlich, stützt sich Sommer Systems auf geeignete Garantien. Dazu gehören insbesondere anerkannte Standarddatenschutzklauseln, zusätzliche technische und organisatorische Schutzmassnahmen oder andere gesetzlich anerkannte Grundlagen. Soweit ein Empfänger nach dem Swiss-U.S. Data Privacy Framework zertifiziert ist, kann dies im Einzelfall ebenfalls als Grundlage für eine Bekanntgabe berücksichtigt werden.
15. Datensicherheit Sommer Systems trifft angemessene technische und organisatorische Massnahmen, um Personendaten vor unbefugtem Zugriff, Verlust, Missbrauch oder anderer unzulässiger Bearbeitung zu schützen.
Dazu gehören insbesondere eine möglichst restriktive Vergabe von Zugängen, rollenbasierte Berechtigungen, Verschlüsselung bei Übertragungen soweit technisch vorgesehen, Sicherheits-, Login- und Systemprotokollierung, Sicherungs- und Wiederherstellungsmassnahmen sowie zusätzliche Schutzmechanismen wie Mehrfaktor-Authentisierung, soweit dies sinnvoll und verhältnismässig ist. Trotz aller Sorgfalt kann keine Datenbearbeitung absolute Sicherheit garantieren. Entscheidend ist, dass Schutzmassnahmen dem Risiko, dem jeweiligen System, dem Zweck der Bearbeitung und dem Stand der Technik angemessen Rechnung tragen.
16. Rechte betroffener Personen Betroffene Personen haben im Rahmen des anwendbaren Datenschutzrechts insbesondere das Recht:
– Auskunft über die Bearbeitung ihrer Personendaten zu verlangen, – unrichtige Daten berichtigen zu lassen, – die Löschung oder Vernichtung zu verlangen, – soweit anwendbar die Einschränkung der Bearbeitung oder Verarbeitung zu verlangen, – Bearbeitungen zu widersprechen, soweit dies gesetzlich vorgesehen ist, – eine erteilte Einwilligung mit Wirkung für die Zukunft zu widerrufen, – sowie, soweit anwendbar, die Herausgabe oder Übertragung von Personendaten zu verlangen.
Zur Ausübung solcher Rechte genügt eine Mitteilung an info@sommer-systems.ch. Im Einzelfall können zusätzliche Angaben verlangt werden, damit die Identität geprüft und die Anfrage korrekt zugeordnet werden kann.
Zuständige Schweizer Aufsichtsbehörde ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB). Soweit die DSGVO anwendbar ist, besteht zudem das Recht, Beschwerde bei einer zuständigen Datenschutz-Aufsichtsbehörde im EU-/EWR-Raum zu erheben.
17. Änderungen Diese Datenschutzerklärung kann angepasst werden, wenn sich Leistungen, technische Abläufe, eingesetzte Dienstleister oder die rechtlichen Rahmenbedingungen ändern. Massgeblich ist die jeweils veröffentlichte Fassung.
