ALLGEMEINE INFORMATIONEN
Die Sonova AG ist eine nach Schweizer Recht gegründete Gesellschaft mit Sitz an der Laubisrütistrasse 28, 8712 Stäfa, Schweiz, die zusammen mit ihren Tochtergesellschaften auf der ganzen Welt tätig ist (zusammenfassend als das „Unternehmen“ oder „wir“ oder „unser“ bezeichnet).
Da das Unternehmen in seinem Tagesgeschäft personenbezogene Daten verarbeitet, wurde diese globale Datenschutzrichtlinie („Richtlinie“) verfasst und umgesetzt, um die Praktiken des Unternehmens in Bezug auf die Verwendung personenbezogener Daten seiner Kunden, Auftragnehmer und Partner („betroffene Personen“) zu beschreiben. Das Unternehmen achtet besonders auf den Schutz des Datenschutzes und der personenbezogenen Daten und verpflichtet sich, diese Richtlinie in Übereinstimmung mit den geltenden lokalen Gesetzen einzuhalten.
Unter „personenbezogenen Daten“ verstehen wir alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
Unter „Verarbeitung“ verstehen wir jeden mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede Vorgangsreihe im Zusammenhang mit personenbezogenen Daten oder einer Reihe personenbezogener Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Benutzung, die Weitergabe durch Übermittlung, Verbreitung oder jede andere Form der Bereitstellung, den Abgleich oder die Verknüpfung sowie das Einschränken, Löschen oder Vernichten.
ANWENDBARES RECHT DER RICHTLINIEN
Das Unternehmen verpflichtet sich, das anwendbare Datenschutzrecht („anwendbares Recht“) einzuhalten. Daher unterliegt die Verarbeitung personenbezogener Daten je nach Land, in dem das Unternehmen seinen Sitz hat, dem vor Ort anwendbares Recht. Obwohl bestimmte Anforderungen von Land zu Land unterschiedlich sein können, bemüht sich das Unternehmen besonders um den Schutz des Datenschutzes der betroffenen Personen, und diese Richtlinie stellt eine globale Leitlinie dar, der das Unternehmen verpflichtet ist.
Insbesondere hat sich das Unternehmen verpflichtet, die folgenden Gesetze einzuhalten, sofern sie anwendbar sind:
- Die Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung) („DSGVO“). Die DSGVO zielt darauf ab, die Vorschriften für die Verarbeitung personenbezogener Daten im Gebiet der Europäischen Union zu harmonisieren und zu gestalten, um einen einheitlichen Rechtsrahmen für Unternehmen zu schaffen, und soll die Kontrolle der Bürger über die Verwendung der sie betreffenden personenbezogenen Daten stärken. Diese Verordnung gilt für die Verarbeitung personenbezogener Daten von EU-Bürgern oder Gebietsansässigen und für die Tätigkeit eines für die Verarbeitung Verantwortlichen oder eines Auftragsverarbeiters im EU-Gebiet.
- Das Schweizer Bundesgesetz über den Datenschutz vom 19. Juni 1992 („DSG“), welches im Jahr 2020 geändert wurde, um es an den aktuellen Stand der Technik anzupassen und mit der Datenschutz-Grundverordnung (DSGVO) und anderen neuen europäischen Vorschriften in Einklang zu bringen.
- Das kalifornische Gesetz zum Schutz der Privatsphäre von Verbrauchern von 2018 (California Consumer Privacy Act of 2018, „CCPA“), das für mehr Transparenz sorgen und Verbrauchern mit Wohnsitz in Kalifornien, deren personenbezogene Daten von Unternehmen verarbeitet werden, mehr Rechte garantieren soll.
- Der Health Insurance Portability and Accountability Act von 1996 („HIPAA“), der die Regeln der Vereinigten Staaten für die elektronische Verarbeitung von Gesundheitsdaten durch Akteure und Geschäftspartner im Gesundheitswesen festlegt.
ERFASSTE PERSONENBEZOGENE DATEN
Das Unternehmen kann die folgenden personenbezogenen Daten verarbeiten:
- Identitätsdaten: Nachname, Vorname, Staatsangehörigkeit und Geburtsdatum
- Angaben zur Kontaktaufnahme: Postanschrift, private Telefonnummer, private E-Mail-Adresse und Notfallkontakt
- Referenznummer der Sozialversicherung und Versicherungsgesellschaft
- Finanzdaten: Zahlungsmittel, Finanzinstitut, IBAN
- Daten über die Gesundheit des Nutzers: Gewicht, Größe, medizinische Probleme, ärztliche Verordnungen, Hörvermögen, Verfolgung der körperlichen Aktivität (Schrittzahl, Trainingsintensität, Trainingsminuten), Fitnessdaten (Herzfrequenz, Energieverbrauch, Blutdruck)
- Daten über das Nutzerverhalten auf der Website
- Daten zu dem vom Kunden erworbenen Produkt: Modell, Seriennummer, Nutzungsdaten
- Daten über die erbrachte Dienstleistung
- Daten über das Feedback des Kunden zu unseren Produkten und Dienstleistungen: Kommentare und Anmerkungen
Da sich unsere Tätigkeit hauptsächlich auf die Herstellung innovativer Lösungen für Hörgeräte konzentriert, kann es außerdem erforderlich sein, dass wir sensible personenbezogene Daten und insbesondere Gesundheitsdaten erfassen. Je nach dem Land, in dem die betroffene Person ihren Wohnsitz hat, können diese sensiblen personenbezogenen Daten einem besonderen Schutz unterliegen, insbesondere im Hinblick auf die getroffenen Sicherheits- und Vertraulichkeitsmaßnahmen.
ZWECKE DER VERARBEITUNG PERSONENBEZOGENER DATEN
Die folgenden Rechtsgrundlagen bilden die Grundlage, auf die sich das Unternehmen bei der Verarbeitung der personenbezogenen Daten stützt. Andere Rechtsgrundlagen können verwendet werden, je nachdem, wo die betroffene Person ihren Wohnsitz hat, und je nach dem anwendbaren Recht.
Erstens kann ein Teil der Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Personen beruhen. Die Verarbeitung personenbezogener Daten zu diesem Zweck kann Folgendes beinhalten:
- Marketingzwecke wie das Versenden von Newslettern und Informationen über die vom Unternehmen angebotenen Produkte und Dienstleistungen
- Um die Leistung unserer Website zu verbessern
- Um Sie zu beraten und mit Ihnen zu interagieren: für die Erstellung Ihres Kontos, um uns über das Kontaktformular zu kontaktieren, damit Sonova den Benutzern antworten kann, um einen Online-Hörtest zu machen
Darüber hinaus kann die Verarbeitung personenbezogener Daten, die das Unternehmen vornimmt, auch auf der Erfüllung eines Vertrags oder vorvertraglicher Maßnahmen mit den betroffenen Personen beruhen. Die Verarbeitung personenbezogener Daten zu diesem Zweck kann Folgendes beinhalten:
- Erfüllung unserer vertraglichen Verpflichtungen gegenüber den betroffenen Personen
- Bereitstellung eines Kundendienstes nach dem Kauf eines Produkts durch einen Kunden
- Sozialversicherung / Versicherungsverarbeitung
- Verwaltung von Schadensfällen
Das Unternehmen kann personenbezogene Daten auch auf der Grundlage seines berechtigten Interesses verarbeiten, insbesondere um unsere Produkte und Dienstleistungen, die Kundenerfahrung und die internen Prozesse zu verbessern. Die Verarbeitung personenbezogener Daten zu diesem Zweck kann Folgendes beinhalten:
- Durchführung von statistischen Analysen/Nutzungsanalysen
- Wahrnehmung interner Verwaltungsaufgaben
- Verarbeitung von Kundenanfragen
- Verhinderung betrügerischer Aktivitäten und Verbesserung der Sicherheit
- Beziehungsmanagement mit betroffenen Personen
- Bewertung der Relevanz unserer Produkte und Dienstleistungen
Das Unternehmen kann personenbezogene Daten auch verarbeiten, um auf gesetzliche Anforderungen zu reagieren. Die Verarbeitung aufgrund gesetzlicher Vorschriften richtet sich nach dem anwendbaren Recht.
AUFBEWAHRUNG VON PERSONENBEZOGENEN DATEN
Die personenbezogenen Daten werden nicht länger aufbewahrt, als es für die oben genannten Zwecke erforderlich ist. Dies bedeutet, dass personenbezogene Daten gelöscht werden, sobald der Zweck der Verarbeitung personenbezogener Daten erreicht ist. Das Unternehmen kann jedoch personenbezogene Daten länger aufbewahren, wenn dies erforderlich ist, um aanwendbares Recht einzuhalten oder wenn dies erforderlich ist, um unsere Rechte zu schützen oder auszuüben, soweit dies nach geltendem Datenschutzrecht zulässig ist.
Nach Ablauf der Aufbewahrungsfrist kann es für das Unternehmen auch erforderlich sein, personenbezogene Daten für einen begrenzten Zeitraum und mit begrenztem Zugriff zu archivieren, um anwendbares Recht einzuhalten.
Diese Aufbewahrungsfristen können je nach Land, in dem die betroffenen Personen ansässig sind, und in Übereinstimmung mit dem anwendbaren Recht variieren.
OFFENLEGUNG VON PERSONENBEZOGENEN DATEN
Das Unternehmen kann vorbehaltlich Ihrer Einwilligung oder einer anderen einschlägigen Rechtsgrundlage personenbezogene Daten an die folgenden Dritten weitergeben:
- Andere Unternehmen unserer Gruppe wie Tochtergesellschaften und verbundene Unternehmen
- Vertrauenswürdige Geschäftspartner, die in unserem Namen Dienstleistungen erbringen, z. B. für technischen Support, zu Marketingzwecken oder für andere Arten der Leistungserbringung
- Regierungsbehörden und öffentliche Stellen, soweit dies erforderlich ist, um angeforderte oder genehmigte Dienstleistungen zu erbringen, um die Rechte von Kunden, Auftragnehmern und Partnern oder unsere oder die Rechte, das Eigentum oder die Sicherheit anderer zu schützen, um die Sicherheit unserer Dienstleistungen aufrechtzuerhalten oder wenn wir aufgrund anwendbarer Gesetze, gerichtlicher oder sonstiger behördlicher Vorschriften dazu verpflichtet sind oder wenn eine solche Offenlegung anderweitig zur Unterstützung rechtlicher oder strafrechtlicher Ermittlungen oder von Rechtsverfahren erforderlich ist
Je nach geltendem Recht schließen wir mit einigen Dritten Verträge ab, um sicherzustellen, dass personenbezogene Daten auf der Grundlage unserer Anweisungen und in Übereinstimmung mit dieser Richtlinie und anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen verarbeitet werden.
ÜBERMITTLUNG VON PERSONENBEZOGENEN DATEN
Die oben genannten Dritten, wie z. B. verbundene Unternehmen und Tochtergesellschaften sowie Geschäftspartner und Behörden, an die wir personenbezogene Daten weitergeben können, können sich außerhalb des Landes befinden, in dem die betroffene Person ihren Wohnsitz hat, möglicherweise auch in Ländern, deren Datenschutzgesetze sich von denen des Landes unterscheiden, in dem die betroffene Person ansässig ist.
Wenn personenbezogene Daten innerhalb der Europäischen Union/des Europäischen Wirtschaftsraums verarbeitet werden und wenn personenbezogene Daten an Dritte in einem Land weitergegeben werden, das nach Ansicht der Europäischen Kommission kein angemessenes Schutzniveau bietet, stellt das Unternehmen Folgendes sicher:
- Die Durchführung angemessener Verfahren zur Einhaltung des anwendbaren Rechts, insbesondere wenn eine Genehmigung der zuständigen Aufsichtsbehörde beantragt werden muss
- Die Durchführung geeigneter organisatorischer, technischer und rechtlicher Maßnahmen zur Regelung der genannten Übermittlung und zur Gewährleistung des nach geltendem Recht erforderlichen und angemessenen Schutzniveaus
- Erforderlichenfalls die Anwendung der von der Europäischen Kommission angenommenen Standardvertragsklauseln
- Gegebenenfalls zusätzliche Maßnahmen zu ergreifen, wie z. B. die Durchführung einer Angemessenheitsprüfung für die Datenübermittlung, wenn dies nach Bewertung der Umstände der Übermittlung und nach Bewertung der Rechtsvorschriften des Drittlandes für den Schutz der übermittelten personenbezogenen Daten erforderlich ist
Werden personenbezogene Daten nicht innerhalb der Europäischen Union/des Europäischen Wirtschaftsraums verarbeitet und werden personenbezogene Daten an Dritte weitergegeben, die sich außerhalb des Zuständigkeitsbereichs der betroffenen Person befinden, stellt das Unternehmen sicher, dass geeignete Garantien getroffen werden, um personenbezogener Daten durch Anwendung geeigneter rechtlicher Mechanismen zu schützen. Diese Mechanismen können je nach Land und anwendbarem Recht unterschiedlich sein.
SICHERHEIT PERSONENBEZOGENER DATEN
Das Unternehmen ergreift eine Reihe von Sicherheitsmaßnahmen in Übereinstimmung mit dem geltenden Recht, um personenbezogene Daten vor Sicherheitsvorfällen oder unbefugter Offenlegung und ganz allgemein vor einer Verletzung des Schutzes personenbezogener Daten zu schützen. Diese Sicherheitsmaßnahmen sind in der Branche als angemessene Sicherheitsstandards anerkannt und umfassen u. a. Zugriffskontrollen, Passwörter, Verschlüsselung und regelmäßige Sicherheitsbewertungen.
Im Falle einer Verletzung des Schutzes personenbezogener Daten und insbesondere im Falle einer Verletzung der Sicherheit, die versehentlich oder unrechtmäßig zur Zerstörung, zum Verlust, zur Veränderung, zur unbefugten Weitergabe oder zum Zugriff auf übermittelte, gespeicherte oder anderweitig verarbeitete personenbezogene Daten führt, ergreift das Unternehmen geeignete Maßnahmen, wie z. B.:
- Untersuchung und Analyse, um die Folgen der Verletzung des Schutzes personenbezogener Daten zu bestimmen und insbesondere zu ermitteln, ob sie ein Risiko für die Rechte und Freiheiten der betroffenen Personen darstellt.
- Ergibt die Analyse, dass ein Risiko für die Rechte und Freiheiten der Betroffenen besteht, benachrichtigt das Unternehmen die zuständige Behörde und, im Falle eines hohen Risikos, die Betroffenen.
- So schnell wie möglich die erforderlichen Maßnahmen zur Behebung und Eindämmung der Verletzung des Schutzes personenbezogener Daten umzusetzen.
- Dokumentieren Sie die Verletzung des Schutzes personenbezogener Daten, um ihre Rückverfolgbarkeit zu gewährleisten.
Geeignete Maßnahmen und Verfahren im Falle einer Verletzung des Schutzes personenbezogener Daten können sich je nach Land, in dem die Verletzung auftritt, nach der Art der Verletzung und nach dem jeweils anwendbaren Recht unterscheiden.
DATENSCHUTZRECHTE IN BEZUG AUF PERSONENBEZOGENE DATEN
Je nach geltendem Recht haben die betroffenen Personen Rechte in Bezug auf ihre personenbezogenen Daten, wie z. B. das Recht auf Auskunft, Berichtigung, Löschung ihrer personenbezogenen Daten, Einschränkung der Verarbeitung, Widerspruch gegen die Verarbeitung, Datenübertragbarkeit, Information und Widerruf der Einwilligung zur Verarbeitung personenbezogener Daten, sofern diese auf ihrer Einwilligung beruht. Betroffene Personen können auch gegen automatisierte Einzelentscheidungen Widerspruch einlegen, wenn sie von einer solchen Verarbeitung betroffen sind.
Darüber hinaus können Sie in einigen Rechtsordnungen Anweisungen zur Aufbewahrung, Weitergabe und Löschung Ihrer personenbezogenen Daten nach dem Tod erteilen.
Die Ausübung dieser Rechte ist nicht absolut und unterliegt den durch das anwendbare Recht vorgesehenen Einschränkungen. Betroffene Personen können das Recht haben, bei der örtlichen Datenschutzbehörde oder der zuständigen Aufsichtsbehörde eine Beschwerde einzureichen, wenn sie der Ansicht sind, dass die Verarbeitung ihrer personenbezogenen Daten gegen geltendes Recht verstößt.
Um diese Datenschutzrechte auszuüben, können sich die betroffenen Personen an uns wenden, wie im Abschnitt „Kontakt“ unten beschrieben. Wir können einen Identitätsnachweis verlangen, um die Anfrage beantworten zu können. Wenn wir Ihrem Antrag nicht entsprechen können (Ablehnung oder Einschränkung), werden wir unsere Entscheidung schriftlich begründen.
AKTUALISIERUNGEN DIESER RICHTLINIE
Gegebenenfalls müssen wir diese Richtlinie von Zeit zu Zeit aktualisieren, um neue oder andere Datenschutzpraktiken zu berücksichtigen. In diesem Fall werden wir aktualisierte Versionen dieser Richtlinie auf dieser Seite veröffentlichen. Eine überarbeitete Richtlinie gilt nur für Daten, die nach ihrem Inkrafttreten erhoben wurden. Wir empfehlen Ihnen, diese Seite regelmäßig zu besuchen, um die neuesten Informationen über unsere Datenschutzpraktiken zu erhalten.
WIE SIE UNS KONTAKTIEREN KÖNNEN
Bei Fragen, Kommentaren oder Bedenken zu dieser Richtlinie oder um die nach anwendbarem Recht zulässigen Datenschutzrechte in Bezug auf personenbezogene Daten auszuüben, wenden Sie sich bitte an unseren Datenschutzbeauftragten unter der folgenden Adresse:Sonova AG, Laubisruetistrasse 28,8712 Stäfa, Schweiz oder senden Sie eine E-Mail an privacy@sonova.com
Gültig ab: Februar 2022