Datenschutzerklärung der Abelia Wirtschaftsprüfung und Beratung AG

I. Allgemeine Hinweise

Es ist uns ein grosses Anliegen, dass Sie über die Bearbeitung Ihrer Personendaten umfassend informiert sind. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften. Im Zuge des Inkrafttretens des revidierten Datenschutzgesetzes per 1. September 2023 veröffentlichen wir unsere Datenschutzerklärung nicht nur für die Besucher unserer Webseite, sondern auch für unsere Kunden und Geschäftspartner.

Diese Datenschutzerklärung ist auf die Anforderungen der EU-Datenschutz-Grundverordnung (DSGVO) und des revidierten Schweizer Datenschutzgesetzes (revDSG) ausgelegt. Ob und wie weit diese Gesetze anwendbar sind, hängt vom Einzelfall ab. Diese Datenschutzerklärung gilt fortan für alle unsere Dienstleistungen sowie für die internen Prozesse und Richtlinien.

II. Wer ist für die Bearbeitung Ihrer Daten verantwortlich?

Wenn Sie datenschutzrechtliche Anliegen haben, können Sie uns diese an folgende Kontaktadresse mitteilen:

Abelia Wirtschaftsprüfung und Beratung AG
Dufourstrasse 49
4052 Basel

E-Mail: datenschutz@abelia-beratung.ch
Telefon: +41 61 201 30 13
Kontaktperson: Herr Roland Auderset

III. Grundlagen der Bearbeitung von Personendaten

«Personendaten» sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen (Art. 5 lit. a DSG), d.h. Rückschlüsse auf deren Identität zulassen. Eine «betroffene Person» ist eine Person, über die Personendaten bearbeitet werden (Art. 5 lit. b DSG). «Bearbeiten» umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Beschaffen, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren oder Vernichten von Daten (Art. 5 lit. d DSG).

«Besonders schützenswerte Personendaten» sind Kategorien von Daten, die besonders heikel sind und bei deren Bearbeitung besonders hohe Sicherheitsanforderungen gelten. Als besonders schützenswerte Daten gelten z.B. Daten über die Religion und politische Ansichten, Gesundheitsdaten und Daten über strafrechtliche und verwaltungsrechtliche Sanktionen sowie über die Sozialhilfe (Art. 5 lit. c DSG). Für die Bearbeitung von besonders schützenswerten Personendaten muss stets vorgängig eine ausdrückliche Einwilligung eingeholt werden (Art. 6 Abs. 7 lit. a DSG).

Wir erheben Personendaten auf transparente Weise und unter Beachtung der Grundsätze der Verhältnismässigkeit und der Zweckbindung (Art. 6 Abs. 1-3 DSG). Die Daten werden nur in dem Ausmass und so lange bearbeitet, wie dies für unsere Aufgaben und Pflichten notwendig ist (Art. 6 Abs. 3 und 4 DSG).

IV. Welche Daten bearbeiten wir?

Wir bearbeiten in erster Linie die Personendaten, die wir im Rahmen unserer Mandatsbeziehung mit unseren Kunden bzw. Vertragsbeziehungen mit anderen Geschäftspartnern und Mitarbeitern erhalten oder die wir ggf. beim Betrieb unserer Webseite erheben.

Soweit dies erlaubt ist entnehmen wir auch öffentlich zugänglichen Quellen (z.B. Handelsregister, Grundbücher, Betreibungsregister, Presse, etc.) gewisse Daten oder erhalten solche von Behörden, aus gerichtlichen Verfahren oder von sonstigen Dritten.

Die Bearbeitung ist jeweils abhängig von Ihrer Beziehung zu uns und vom Bearbeitungszweck. Wir bearbeiten nebst Ihren Kontaktdaten auch weitere Informationen über Sie oder über Personen, die mit Ihnen in einer Beziehung stehen. Bei diesen Informationen kann es sich in seltenen Fällen auch um besonders schützenswerte Personendaten gem. Art. 5 lit. c DSG handeln.

Wir bearbeiten je nach Verwendungszweck u.a. folgende Kategorien von Personendaten:

Die Daten, die wir gemäss dieser Datenschutzerklärung bearbeiten, beziehen sich nicht nur auf unsere Kunden, sondern können teilweise auch Dritte miteinschliessen (Lohnbuchhaltung, Steuererklärung von Verheirateten und Personen mit Kindern, etc.). Wenn Sie uns Daten über Dritte übermitteln, gehen wir davon aus, dass Sie dazu befugt und dass diese Daten richtig sind und dass Sie die entsprechenden Personen vorgängig darüber informiert haben.

V. Dienstleister, Lieferanten und sonstige Vertragspartner

Wenn wir mit Ihnen einen Vertrag schliessen, damit Sie eine Dienstleistung für uns erbringen, bearbeiten wir Personendaten von Ihnen und Ihren Mitarbeitenden. Diese benötigen wir, um mit Ihnen zu kommunizieren und Ihre Leistungen in Anspruch zu nehmen. Wir bearbeiten diese Personendaten u.U. auch um zu prüfen, ob ein Interessenkonflikt im Zusammenhang mit unserer Tätigkeit als Revisionsstelle vorliegen könnte und um sicherzustellen, dass wir mit der Zusammenarbeit keine ungewollten Risiken eingehen.

Wir bearbeiten dabei insbesondere folgende Informationen:

VI. Datenerfassung auf unserer Webseite

1. TLS-Verschlüsselung / Hosting der Webseite
Unsere Webseite nutzt aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte eine TLS-Verschlüsselung mit Let’s Encrypt-Zertifikaten («Privacy by Design»: Art. 7 Abs. 1 und 2 DSG). Eine verschlüsselte Verbindung erkennen Sie daran, dass die Adresszeile des Browsers nicht mehr mit «http://», sondern mit «https://» beginnt und ein Schloss-Symbol in Ihrer Browserzeile angezeigt wird. Durch die Aktivierung der TLS-Verschlüsselung, können Daten, die Sie mit unserer Webseite austauschen, nicht von Dritten abgefangen oder manipuliert werden.

Die Erneuerung der TLS-Zertifikate für die Verschlüsselung sowie das Hosting unserer Webseite wird von einem externen Dienstleister (nachfolgend Hoster) gewährleistet. Die Beauftragung eines externen Hosters erfolgt zum Zweck der Vertragserfüllung gegenüber unseren bestehenden wie auch potentiellen Kunden (vgl. Art. 9 Abs. 1 DSG) und im Interesse einer sicheren, effizienten und professionellen Bereitstellung unserer Webseite.

Die Daten werden von unserem Hoster nur insoweit bearbeitet, wie es zur Erfüllung seiner Leistungspflicht erforderlich und dem Bearbeitungszweck dienlich ist. Er wird dabei unsere Richtlinien und Weisungen betreffend die Datenbearbeitung beachten.

Wir haben folgenden Hoster als unsere externe Dienstleisterin beauftragt:
METANET AG
Josefstrasse 218
8005 Zürich

2. Server Log-Files
Um unsere Webseite zu nutzen, müssen keine Personendaten offengelegt werden. Der Server erfasst jedoch automatisch mit jedem Aufruf eine Reihe von Benutzerinformationen, welche vorübergehend in den Log-Files des Servers protokolliert und abgespeichert werden.

Bei der Nutzung dieser allgemeinen Informationen findet keine Zuordnung zu einer bestimmten Person statt (anonyme Datenerfassung). Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Die Erfassung der Informationen ist technisch erforderlich, um unsere Webseite anzuzeigen und deren Stabilität und die Systemsicherheit zu gewährleisten.

Log-Files können u.a. folgende Informationen enthalten:

• Hostname des zugreifenden Rechners (IP-Adresse)
• Datum und Uhrzeit der Serveranfrage
• Verwendetes Betriebssystem
• Verwendeter Browsertyp / -version
• Verweis-URL (die zuvor besuchte Webseite, Referred URL)
• Name und URL der abgerufenen Datei
• Übertragene Datenmenge
• Meldung über erfolgreichen Abruf

3. Cookies
Wir setzen auf unserer Webseite keine Cookies ein. Beim Besuch unserer Webseite werden somit keine automatischen Textdateien von Ihrem Browser erstellt und auf Ihrem Endgerät gespeichert.

4. Google Maps
Auf unserer Webseite verwenden wir Google Maps (API) von Google Inc. (1600 Amphitheatre Parkway, Mountain View, CA 94043, USA; zuständig für Europa ist Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland). Google Maps ist ein Webdienst zur Darstellung von interaktiven Karten, um geographische Informationen visuell darzustellen. Über die Nutzung dieses Dienstes wird ihnen unser Standort angezeigt und eine etwaige Anfahrt erleichtert.

Beim Aufrufen der Seiten, in die die Karte von Google Maps eingebunden ist, werden Informationen über Ihre Nutzung unserer Webseite (wie z.B. Ihre IP-Adresse) an Server von Google in den USA übertragen und dort gespeichert. Dies erfolgt unabhängig davon, ob Google ein Nutzerkonto bereitstellt, über das Sie eingeloggt sind, oder ob kein Nutzerkonto besteht. Google speichert Ihre Daten als Nutzungsprofile und wertet diese aus. Für Datenübermittlungen in die USA hat sich Google verpflichtet, die EU-Standardvertragsklauseln zu unterzeichnen und einzuhalten.

Informationen über die Datenverarbeitung und den Verwendungszweck finden Sie in der von Google bereitgestellten Datenschutzerklärung: <https://policies.google.com/privacy>.

VII. Zweck der Datenbearbeitung

Wir erheben und bearbeiten Personendaten in erster Linie, um Verträge mit unseren Kunden, Geschäftspartnern und Mitarbeitenden abzuschliessen und abzuwickeln (inkl. Vertragsanbahnung und allfällige Durchsetzung). Dies geschieht insbesondere im Zusammenhang mit Aufträgen im Bereich der Wirtschaftsprüfung, Treuhand, Steuern und allgemeiner Beratungstätigkeiten. Bei der Bearbeitung der uns im Rahmen eines Auftrags überlassenen Daten, handeln wir entsprechend den Weisungen der Auftraggeber sowie der gesetzlichen Vorgabe. Wir bearbeiten Ihre Daten nur zu spezifischen Zwecken, die sich aus vertraglichen Vereinbarungen mit oder zugunsten einer betroffenen Person, gesetzlichen Vorschriften, überwiegendem Interesse, d.h. aus legitimen Gründen oder Ihrer ausdrücklichen Einwilligung ergeben.

Darüber hinaus bearbeiten wir Personendaten von Ihnen und weiteren Personen, soweit erlaubt und ein dem Zweck entsprechendes berechtigtes Interesse besteht, auch für die Weiterentwicklung unserer Angebote und Dienstleistungen, für die Kommunikation mit Dritten und Bearbeitung derer Anfragen im Zusammenhang mit einer Leistungserbringung.

VIII. Datenweitergabe und Datenübermittlung

Ihre Daten werden grundsätzlich nicht an Dritte weitergegeben. Folglich geben wir Daten nur dann an Dritte weiter, wenn dies zur Erbringung unserer Dienstleistung notwendig ist, wenn diese Dritte für uns eine Dienstleistung erbringen, wenn wir dazu gesetzlich oder behördlich verpflichtet sind oder wenn wir ein überwiegendes Interesse an der Weitergabe der Personendaten haben. Darüber hinaus werden wir Personendaten an Dritte weitergeben, wenn Sie dazu ihre Einwilligung erteilt oder uns dazu aufgefordert haben. Werden Personendaten in unserem Auftrag für die Bearbeitung oder Weiterverarbeitung an Dritte (Auftragsbearbeiter) übergeben, so schliessen wir Verträge (sog. ADVs) ab, die diese verpflichten, den Datenschutz zu gewährleisten (Art. 9 Abs. 1 und 2 DSG). Die Auftragsbearbeiter bearbeiten diese Personendaten unter der Bedingung, sie nur für den von uns vorgegebenen Zweck und nur so zu bearbeiten, wie wir es selbst tun dürften (Art. 9 Abs. 1 lit. a DSG).

IX. Übermittlung von Daten ins Ausland

Ihre Personendaten werden grundsätzlich nicht ins Ausland übermittelt. Sollte es dennoch vorkommen, dass Ihre Daten ins Ausland übermittelt werden und der Empfängerstaat nicht zu den im Anhang 1 der Datenschutzverordnung (DSV) aufgeführten Ländern mit angemessenen gesetzlichen Datenschutz zählen sollte, so treffen wir vertragliche Vorkehrungen, um den schwächeren gesetzlichen Schutz vertraglich auszugleichen und beim Empfänger ein angemessenes Schutzniveau zu erzielen (Art. 16 Abs. 2 lit. d DSG). Dazu verwenden wir die von der Europäischen Kommission ausgestellten und vom schweizerischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) anerkannten Standardvertragsklauseln (SCC). <https://commission.europa.eu/publications/standard-contractual-clauses-controllers-and-processors-eueea_de>

X. Dauer der Aufbewahrung von Personendaten

Wir bearbeiten und speichern Ihre Personendaten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder die mit der Bearbeitung verfolgten Zwecke erforderlich ist (Grundsatz der Verhältnismässigkeit: Art. 6 Abs. 2 DSG), d.h. also zum Beispiel für die Dauer der gesamten Geschäftsbeziehung (von der Anbahnung, Abwicklung bis zur Beendigung eines Vertrags) sowie darüber hinaus gemäss den gesetzlichen Aufbewahrungs- und Dokumentationspflichten. Dabei ist es möglich, dass Personendaten für die Zeit aufbewahrt werden, in der Ansprüche gegen unser Unternehmen geltend gemacht werden können (d.h. insbesondere während der gesetzlichen Verjährungsfrist) und soweit wir anderweitig gesetzlich dazu verpflichtet sind oder berechtigte Geschäftsinteressen dies erfordern (z.B. für Beweis- und Dokumentationszwecke). Sobald Ihre Personendaten für die oben genannten Zwecke nicht mehr erforderlich sind, werden sie grundsätzlich und soweit möglich gelöscht oder anonymisiert (vgl. Art. 6 Abs. 4 DSG).

Genauso wichtig wie das Löschen von elektronischen Daten ist uns die Vernichtung von physischen Akten und vertraulichen Daten in Papierform, die wir nicht mehr für die Bearbeitung gebrauchen. Auch diese Daten werden bei uns sicher und vertraulich behandelt. Physische Akten mit Personendaten werden in abschliessbaren Sammelbehältern entsorgt, die von unserem Dienstleister vor Ort ausgetauscht und geleert werden. Der Transport erfolgt mit speziellen Fahrzeugen und die Aktenvernichtung wird mit Hochleistungsschreddern in einem eigens dafür eingerichteten und streng überwachten Sicherheitsraum durchgeführt. Der Weg Ihrer Akten wird dabei von der Übergabe bis zur Vernichtung vollumfänglich dokumentiert.

Wir haben folgendes Unternehmen als Dienstleisterin betreffend die Aktenvernichtung beauftragt:
Reisswolf Aktenvernichtungs-AG
Schlachthofstrasse 18
4056 Basel

XI. Datensicherheit

Wir treffen angemessene technische und organisatorische Sicherheitsvorkehrungen (gem. Art. 7 Abs. 1-3 DSG) zum Schutz ihrer Personendaten vor unberechtigtem Zugriff bzw. Missbrauch. Dies betrifft u.a. Weisungen bzw. interne Richtlinien und Schulung der Mitarbeitenden, Zugangsbeschränkungen zu unseren Büroräumlichkeiten, enger Kontakt und ständiger Austausch mit unserem IT-Dienstleister innotrixx ag, Zwei-Faktor-Authentifizierung, Verschlüsselung unseres E-Mailverkehrs, regelmässige Kontrolle und Überwachung der Einhaltung der Grundsätze des Datenschutzgesetzes durch den internen Datenschutzbeauftragten.

XII. Welche Rechte haben Sie in Bezug auf Ihre Personendaten?

Sie haben in Zusammenhang mit der Bearbeitung von Personendaten die folgenden Rechte:

• Recht auf Auskunft (Art. 25 Abs. 1 und 2 DSG) über bei uns bearbeitete Personendaten (lit. b), den Zweck der Bearbeitung (lit. c), die Aufbewahrungsdauer (lit. d), die Herkunft (lit. e) sowie über Empfänger oder Kategorien von Empfängern (lit. g), an die die Personendaten weitergegeben werden.
• Recht auf Berichtigung, falls Ihre Daten nicht korrekt oder nicht vollständig sind.
• Recht auf Einschränkung der Bearbeitung Ihrer Personendaten.
• Recht, die Löschung der bearbeiteten Personendaten zu verlangen.
• Recht auf Datenherausgabe bzw. Datenübertragbarkeit (Art. 28 DSG)
• Recht einer Datenbearbeitung zu widersprechen oder eine Einwilligung zur Bearbeitung von Personendaten jederzeit ohne Angabe von Gründen zu widerrufen.
• Recht auf Beschwerde an die zuständige Datenschutzbehörde. Die zuständige Datenschutzbehörde der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftrage (EDÖB). <https://www.edoeb.admin.ch>

Um diese Rechte geltend zu machen, wenden Sie sich bitte an die unter Ziff. II. angegebene Adresse.

Wir behalten uns vor, unsererseits die gesetzlich vorgesehenen Einschränkungen (sog. Rechtfertigungsgründe) geltend zu machen, etwa wenn wir zur Aufbewahrung oder Bearbeitung gewisser Daten gesetzlich verpflichtet sind, daran ein überwiegendes Interesse haben oder sie für die Geltendmachung von Ansprüchen benötigen.

XIII. Änderungen der Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit ohne Vorankündigung anpassen. Es gilt die jeweils aktuelle, auf unserer Webseite publizierte Fassung. Soweit die Datenschutzerklärung Teil einer Vereinbarung mit Ihnen ist, werden wir Sie im Falle einer Aktualisierung per E-Mail oder auf andere geeignete Weise über die Änderungen informieren.

Letzte Aktualisierung: September 2023

XIV. Fragen an den internen Datenschutzbeauftragten

Wenn Sie Fragen zum Datenschutz haben, schreiben Sie uns bitte eine E-Mail oder wenden Sie sich direkt an die für den Datenschutz zu Beginn der Datenschutzerklärung aufgeführte, verantwortliche Kontaktperson in unserem Unternehmen.