Datenschutzerklärung
der IBH Expertenstelle Chur
Diese Erklärung beschreibt, wie die IBH Expertenstelle Chur (im Folgenden als „Experte IBH“, „wir“ oder „uns“ bezeichnet) Personendaten bearbeitet.
1. VERANTWORTLICH
Verantwortlich für die Bearbeitung von Personendaten durch seine Mitarbeitende, auch für evtl. in seinem Auftrag tätige Auftragsbearbeitende ist der
Experte IBH in CH-7204 Untervaz
2. ANWENDUNGSBEREICH DIESER ERKLÄRUNG
Diese Erklärung bezieht sich auf die grundsätzliche Bearbeitung von Personendaten durch uns, Abweichungen dazu sind sind vereinbart:
a. für Mitarbeitende in unseren «Allgemeinen Bedingungen für Mitabeitende» (ABM), evtl. zusätzlich in einzelnen Arbeitsverträgen
b. beim Abschluss eines Werkvertrages oder eines anderen Auftragsverhältnisses mit uns, in den Datenschutzklauseln in unseren Allgemeinen Geschäftsbedingungen (AGB) und evtl. zusätzlichen vertraglichen Vereinbarungen mit Auftraggebern
3. UNSERE PRINZIPIEN IM UMGANG MIT PERSONENDATEN
Grundsätzlich bearbeiten wir Personendaten ohne Einwilligung der Betroffenen. Stattdessen verpflichten wir uns:
a. Daten mit einem Personenbezug gemäss dem Schweizer Datenschutzrecht zu bearbeiten und dies ausschliesslich zum bestimmungsgemässen Zweck.
b. Personendaten nur durch Mitarbeitende zu bearbeitet, welche:
-
dazu berechtigt, sowie mit unserer Datenstruktur und unseren Datenschutzregeln vertraut sind
-
zu besonders sorgsamem Umgang mit Personendaten und zur Wahrung vertraulicher Informationen ausserhalb unserer Expertenstelle, während und nach Beendigung des Arbeitsverhältnisses, verpflichtet sind.
c. Personendaten grundsätzlich nur in Staaten mit angemessenem Datenschutz bekannt zu machen.
d. bei der Bearbeitung ein adäquates Schutzniveau anzuwenden:
-
ausschliessliche Verwendung von bezüglich ihrer Aufgabe als zweckmässig und sicher validierten Netzen, Geräten, Apps und Diensten
-
grundsätzliche Anwendung unseres Standard-Sicherheitsniveaus
-
Anwendung eines Niveaus mit hoher Sicherheit für besonders schützenswerte Daten
-
Verschiebung von Personendaten, vor allem von besonders schützenswerten, in einen Speicher mit höherem Schutzniveau, wenn es die Situation erlaubt
-
Sicherung von zentral gehaltenen, aktiven sowie archivierten Arbeitsdaten als Backup; Wiederherstellung von Backups#R nur gerechtfertigt und protokolliert.
e. Daten gemäss folgenden Grundsätzen zu lenken (Datenmanagement):
-
Verwendung einer übersichtlichen Datenstruktur, in der sich Berechtigungen gruppieren und einfach verwalten lassen
-
Bearbeitung grundsätzlich nur von erforderlichen Personendaten und Löschung von nicht mehr erforderlichen Personendaten (dies gilt spätestens ein Jahr nach Ablauf der Verjährung auch für archivierte Dossiers)
-
Speicherung in ein objektbezogenes, zentrales Arbeits-Dossier mit einem hohen Schutzniveau und einer restriktiven Gewährung von Rechten, mit der Möglichkeit der Spiegelung auf «Arbeitsstationen» von Berechtigten
-
zeitnahe Archivierung der Arbeitsdossiers nach Auftragsabschluss, damit die Berechtigungen weiter eingeschränkt werden, insbesondere der Inhalt nicht mehr verändert werden kann
-
Reaktivierung von archivierten Dossiers#R ausschliesslich gerechtfertigt und protokolliert mit Nennung des Grundes.
f. betroffene Personen über die Bearbeitung ihrer Daten transparent zu informieren und ihnen ihre Rechte aufzuzeigen:
-
generell auf unserer Homepage mit dieser Datenschutzerklärung
-
spezifisch im Voraus einer Tätigkeit, für die eine Information angezeigt ist
-
auf ihren Antrag auf Auskunft zur eigenen Person.
g. Daten aus Begehungen und Probenahmen von Untersuchungsobjekten verhältnismässig und verantwortungsvoll zu bearbeiten, insbesondere:
-
Notizen zu Feststellungen, selten welche mit einem Personenbezug
-
Bildaufnahmen aus dem Privatbereich und Daten zu Proben, grundsätzlich zu einem nicht personenbezogenen Zweck i.S.v. Art. 31. Abs. 2 lit. e DSG, über Abweichungen informieren wir die Betroffenen unter Nennung des Grundes
h. Mess- und Analyseergebnisse sowie daraus berechnete weitere physikalische und chemische Parameter und graphische Darstellungen davon so zu dokumentieren:
-
objektiv, verzichten dabei auf ein automatisiertes Zusammenführen von Daten aus verschiedenen Quellen#R, auf Verwendung von Algorithmen oder neuen Technologien welche maschinell einen Personenbezug herzustellen und auf die Weitergabe von Daten an Dritte, welche mit diesen solche Methoden anwenden könnten
-
bei personenbezogenen Ergebnissen (Exposition, Dosis) pseudonymisiert.
i. Unterauftragnehmern, Personen mit denen wir Fachwissen teilen oder Forschenden, Daten grundsätzlich anonymisiert oder pseudonymisiert bekanntzumachen.
j. unsere begutachtenden Berichte mit besonders schützenswerten Daten so zu erstellen, dass:
-
die enthaltene Schlussfolgerung verhältnismässig formuliert ist und eine natürliche Person (i.d.R. ohne namentliche Nennung) nur erheblich belastet, wenn ein Gesetz oder eine im Auftrag enthaltene Fragestellung dies rechtfertigen
-
ein unübersehbarer Hinweis Dritte auffordert, die genannte Zweckbindung der Personendaten ebenfalls einzuhalten.
k. für Bearbeitungen mit dem Potenzial eines hohen Risikos für Betroffene, vorgängig eine Datenschutz-Folgeabschätzung durchzuführen und ein verbliebenes Risiko mit weiteren technischen und organisatorischen Massnahmen auf ein vertretbares Niveau zu senken.
l. Hingegen machen wir nur mit ausdrücklicher Einwilligung der betroffenen Person oder deren gesetzlichen Vertretung i.S.v. Art. 6 Abs. 6 DSG:
-
besonders schützenswerte Personendaten ausserhalb der bestellten, begutachtenden Berichte Dritten bekannt zu machen
-
Ton- oder Bildaufnahmen von erkennbaren natürlichen Personen aufzuzeichnen
-
von den Punkten a – k abzuweichen.
4. UMFANG, ART UND ZWECK DER DATENBEARBEITUNG
Wir erhalten Personendaten von der Auftraggeberschaft, den Betroffenen und evtl. von befragten Personen. Vor allem erfassen wir Sachdaten im Objekt in Form von Beobachtungen, und der Auswertung von Proben. Auch diese können in seltenen Fällen eine Personenbezug haben. Zum Beispiel können Probenahmen über eine längere Zeit erfolgen und aus im Verlauf erkennbaren Mustern kann evtl. unser Experte einen Schluss mit einem Personenbezug ziehen und in seinem begutachtenden Bericht bekannt machen. Es wird kontrovers diskutiert, ob es sich in einem solchen Falle um ein Profiling handelt. Wenn, dann keines mit einem hohen Risiko für Betroffene.
4.1 Stammdaten, in Kombination mit Terminen, Aussagen und Einwilligungen
Wir bearbeiten Stammdaten (Kontaktdaten, ihre Rolle für uns, Verweis auf eine Einwilligung) von Personen sowie Terminabsprachen mit diesen und Einwilligungen von Personen. Dies betrifft Personen:
a. deren Stammdaten wir benötigen, um mit diesen kommunizieren, Terminabsprachen treffen zu können, Verträge anbahnen und abschliessen zu können, Honorarnoten an sie zu richten, ihre Rechnungen bezahlen zu können oder um deren Stammdaten in unsere Berichte zu publizieren
b. welche uns Fragen beantworten, u.U. auch welche zu ihrer Gesundheit und Wohlbefinden, um unsere Untersuchung entsprechend ausrichten zu zu können (Befragte zur statistischen Erfassung von sensorischen Wahrnehmung von Innenräumen gehören nicht dazu)
c. von denen wir eine Einwilligung benötigen, um ihre Daten zu bearbeiten (jedoch verzichten wir grundsätzlich auf Einwilligungen von Betroffenen)
4.2 Korrespondenz, Gesprächsprotokolle und Befragungen
Wir bearbeiten die Korrespondenz, Gesprächsprotokolle und Befragungen von den unter 4.1 erwähnten Personen um deren Aussagen und Vereinbarungen mit ihnen festzuhalten und bei Bedarf und gegebener Verhältnismässigkeit, in Berichten namentlich zitieren zu können. Die Korrespondenz erhalten wir von den Betroffenen.
4.3 Daten aus dem Privatbereich in untersuchten Objekten
Wir erheben und bearbeiten Daten zu Gebäuden, deren Nutzung, Wartung, Verdacht auf Schadstoffe oder Schäden sowie Hinweise auf deren Quelle oder Ursache - manchmal auch aus dem Privatbereich von Bewohnerinnen und Bewohnern, um die Fragestellung, welche Gegenstand unseres Auftrages ist, zu beantworten. Dies kann auf folgende Bearbeitungen zutreffen:
a. wir notieren bei unserer Begehung festgestellte Tatsachen, insbesondere Auffälligkeiten, welche auch in einem Zusammenhang mit Personen stehen können, um unsere Feststellungen zu dokumentieren
b. wir befragen Personen, welche in einem Zusammenhang mit dem zu untersuchenden oder begleitenden Objekt stehen und bearbeiten deren Aussagen weiter.
c. Wir nehmen Proben von Baumaterialien, Oberflächen sowie der Raumluft und bestimmen durch Messen, Analysieren und Berechnen physikalische, chemische und mikrobiologische Parameter, wenn erforderlich, auch über mehrere Wochen (z.B. Raumklima) oder gar Monate (z.B. Radon), zur Erkennung von Auffälligkeiten, Verifizierung eines Verdachtes, Quantifizierung einer Belastung, dem Aufzeigen einer zeitlichen Entwicklung oder einer Korrelation mit anderen Feststellungen sowie mit subjektiven Eindrücken, z.B. Erkennen von Handlungen durch Personen
d. wir erstellen Bildaufnahmen im visuellen Bereich, evt. auch Wärmebilder und welche mit konditioniertem Licht, zu einem nicht personenbezogenen Zweck. Dabei werden Räume möglichst unverwechselbar abgebildet, insbesondere als Nachweisdokument für unsere Arbeit, aber auch um einer Verwechslung bei diesen Raum betreffende Informationen zu Schadstoffen entgegenzuwirken, als auch Detailaufnahmen von Auffälligkeiten hinsichtlich der Fragestellung und von Probenahmestellen gemacht.
Wir bitten betroffene Bewohnerinnen und Bewohner mitzuwirken: in dem sie vor unserem angekündigten Besuch, Gegenstände, welche sie auf keinen Aufnahmen abgebildet haben möchten, wegräumen oder verhüllen. Schadhafte oder sonst wie verdächtige Stellen sollten einsehbar bleiben oder besser einsehbar gemacht werden (z.B. der Schimmelschaden hinter dem Möbel, Ausblühungen etc.).
4.4 Daten von Personen, welche unseren Web-Server nutzen
Von den Besuchern unserer Web-Sites «chur.bauhygiene.ch» oder Personen, welche von dieser Domin Daten herunter laden werden folgende Personendaten bearbeitet:
a. unser Hosting-Partner Hostpoint AG bearbeitet in unserem Auftrag die erforderlichen Verbindungsdaten im Rahmen einer Interessenabwägung zwischen denen der Betroffenen und seinen sowie den Interessen Dritter. Dabei speichert er Zeitpunkte von Zugriffen und Aktionen zusammen mit der IP-Adresse und der übermittelter Browser- und OS-Kennung der Besuchenden, sofern dies zur Gefahrenabwehr oder zur rechtlichen Nachverfolgbarkeit notwendig ist.
b. Das GRAV-CMS, auf dem unsere Web-Sites aufgebaut sind, verwendet Cookies. Cookies sind kleine Textdateien, die der Browser von Besuchenden als temporäre Dateien auf ihrem Gerät ablegt.
Besuchende können Cookies im Einstellungsmenü ihres Browsers, i.d.R. unter »Datenschutz/Sicherheit« verwalten. Lediglich die Formulierungen variieren hier bei den unterschiedlichen Browsern; im Wesentlichen finden man die Cookie-Einstellungen aber in dem Bereich, wo es um die Speicherung lokaler Daten geht. Dabei hat man die Wahl, ob du Cookies generell zulassen oder verweigert werden oder jedes mal danach gefragt werden soll. Dabei ist zu Berücksichtigen, dass dir bei einer Deaktivierung gewisse Funktionen auf unserer Plattform nicht mehr zur Verfügung stehen, weil dem System die Information dafür fehlt.
Es sind keine Analyse-Tools auf unseren Seiten integriert.
5. Betroffene Personen aus dem Europäischen Wirtschaftsraum (EWR)
Wir gehen nicht davon aus, dass die EU-Datenschutzgrundverordnung ("DSGVO") in unserem Fall anwendbar ist. Auch für im EWR domizilierte Personen, gilt für Bearbeitungen von Personendaten, welche nur ihren Aufenthalt in der Schweiz betreffen (z.B. ihr Ferienhaus), ausschliesslich der Schweizer Datenschutz.
Sollte jedoch ausnahmsweise für bestimmte Datenbearbeitungen die DSGVO verpflichtend sein, so gilt ausschliesslich nur für diesen Zweck die DSGVO und für die ihr unterliegenden Datenbearbeitungen zusätzlich Ziff. 5a bis c.
Wir stützen die Verarbeitung von auf Personen bezogenen Daten wie in Ziff. 4.1 bis 4.3 beschrieben insbesondere darauf,
a. dass sie erforderlich ist zur Wahrung berechtigter privater Interessen von uns (Nachweis unserer Arbeit, Qualitätssicherung) oder von Dritten (Gesundheitsschutz und Abwendung von materiellem Schaden), als auch eines öffentlichen Interesses (Schutz der Umwelt) und teilweise auch gesetzlich vorgeschrieben ist (Art. 6 Abs. 1 lit. f DSGVO);
b. die Auskunftspersonen im Wissen um deren Verwendung Daten gemäss Ziff. 4.3 freiwillig zur Verfügung gestellt haben, damit bei 4.3a eine Bekanntgabe als Zitat in einem Bericht in Kauf genommen haben und bei Ziff. 4.3c eine Bekanntmachung nur mit einer Einwilligung des Betroffenen erfolgt (Art. 6 Abs. 1 lit . a DSGVO);
c. sie aufgrund unseres Auftrags oder unserer Stellung nach dem Recht des EWR bzw. eines Mitgliedsstaats gesetzlich vorgeschrieben oder erlaubt ist (Art. 6 Abs. 1 Bst. c DSGVO) oder erforderlich ist, um deine überwiegenden Interessen oder jene von anderen natürlichen Personen zu schützen (Art. 6 Abs. 1 Bst. d DSGVO).
6. ORT, ART, ZEITRAUM VON BEARBEITUNGEN SOWIE DEREN BEARBEITENDEN
Alle Bearbeitungen von Personendaten erfolgen auf unserer ICT-Infrastruktur und der unseres Hosting-Partners Hostpoint AG in der Schweiz:
a. grundsätzlich durch unsere Mitarbeitenden
b. teilweise automatisch durch das System; es werden jedoch keine automatisierten Einzelentscheide und keine neuen Technologien (KI etc.) verwendet
c. beim Besuch unserer Webseiten oder Nutzung unserer Email-Adressen, durch die Hostpoint AG in Rapperswil
d. bei gegebenem Anlass durch unsere ICT-Systemadministration
e. nur solange diese Bearbeitung für die Auftragserfüllung erforderlich ist, danach werden sie für zehn Jahre archiviert und in dieser Zeit höchstens aus gerechtfertigten Gründen reaktiviert.
7. BEKANNTMACHUNG VON PERSONENDATEN
Wir machen in folgenden Fällen Daten mit einem Personenbezug in der Schweiz und u.U. auch in andere Staaten mit einem ausreichenden Datenschutz bekannt:
a. Gesprächsprotokolle mit den Stammdaten der Eingeladenen, deren Aussagen, auch in diesen enthaltene Informationen zu Personen, werden an die Eingeladenen bekannt gemacht.
b. Berichte von Begutachtungen und deren Anhänge (Mess- und Analyseberichte etc.) werden an Behörden und Auftraggebern, welche diese i.d.R. weiterverbreiten, insbesondere zum Schutz von Mensch und Umwelt bekannt gemacht. Diese enthalten Stammdaten und Bildaufnahmen (u.U. auch welche aus dem Privatbereich, mit einer nicht personbezogenen Zweckbindung). Sie können weiter auch Zitate von Auskunftspersonen und personenbezogene Schlussfolgerungen des Sachverständigen (aus Beobachtungen, Messungen, Analysen, Berechnungen, Muster in zeitlichen Verläufen) enthalten.
c. Entsorgungs- und Sicherheitskonzepte mit Stammdaten werden Auftraggebern, Behörden und weiteren am Bauprojekt Beteiligten zum Schutz von Mensch und Umwelt bekannt gemacht.
d. Ausschreibungsunterlagen mit Stammdaten werden Sanierungsunternehmen bekannt gemacht.
e. Berichte über Kontrollen und Schlussberichte bei Sanierungen enthalten Stammdaten und werden den Auftraggebern, dem Sanierungsunternehmen und Behörden bekannt gemacht.
8. RECHTE VON BETROFFENEN PERSONEN
8.1 Auskunftsrecht
Betroffene oder deren rechtliche Vertretung können mit einer nachgewiesenen Berechtigung (Beleg ihrer Identität, respektive Nachweis einer berechtigten Vertretung) Auskunft über die Bearbeitung ihrer Personendaten, unter Angabe möglicher Suchbegriffe, geltend machen. Dazu können sie uns über chur @bauhygiene.ch kontaktieren.
8.2 Recht auf Löschung und Berichtigung
Betroffene können jederzeit die Löschung oder Berichtigung ihrer Personendaten beantragen. Wir werden dem Anliegen nachkommen, sofern keine berechtigte Gründe, wie ein Gesetz, überwiegenden Interessen unsererseits oder Dritter, einer Löschung entgegenstehen. Bei einer Berichtigung ohne einen entsprechenden Beleg, wird der bestehende Eintrag nur mit der Berichtigung als Anmerkung ergänzt. Eine Berichtigung von bereits Dritten bekanntgemachten Dokumenten muss verhältnismässig sein.
8.3 Rechte wahrnehmen
Sofern eine betroffene Person der Ansicht ist, dass wir hinsichtlich Punkt 8 ihre Rechte ungenügend umsetzen oder auf Grund eines anderen Verstosses unsererseits gegen das Datenschutzgesetz juristisch vorgehen möchte, stehen folgende Möglichkeiten offen:
-
Anzeige an den eidgenössischen Datenschutzbeauftragten via diesem Formular.
-
Zivilrechtliche Klage nach Art. 28 ff. ZGB bzw. Art. 32 Abs. 2 DSG.
9. ÄNDERUNGSVORBEHALT
Wir behalten uns das Recht vor, diese Datenschutzerklärung jederzeit zu ändern.