Datenschutzerklärung

der IBH Expertenstelle Chur

Diese Erklärung beschreibt, wie die IBH Expertenstelle Chur (im Folgenden als „Experte IBH“, „wir“ oder „uns“ bezeichnet) Personen­daten bear­beitet.

1. VERANTWORTLICH

Verantwortlich für die Bearbeitung von Personendaten durch seine Mitarbeitende, auch für evtl. in seinem Auftrag tätige Auftragsbearbeitende ist der

Experte IBH in CH-7204 Untervaz

2. ANWENDUNGSBEREICH DIESER ERKLÄRUNG

Diese Erklärung bezieht sich auf die grundsätzliche Bearbeitung von Personendaten durch uns, Abweichungen dazu sind sind vereinbart:

a. für Mitarbeitende in unseren «Allgemeinen Bedingungen für Mitabeitende» (ABM), evtl. zusätzlich in einzelnen Arbeitsverträgen

b. beim Abschluss eines Werkvertrages oder eines anderen Auftragsverhältnisses mit uns, in den Datenschutzklauseln in unseren Allgemeinen Geschäfts­bedin­gun­gen (AGB) und evtl. zusätzlichen vertraglichen Vereinbarungen mit Auftraggebern

3. UNSERE PRINZIPIEN IM UMGANG MIT PERSONENDATEN

Grundsätzlich bear­bei­ten wir Personendaten ohne Einwilligung der Betroffenen. Stattdessen verpflichten wir uns:

a. Daten mit einem Personenbezug gemäss dem Schweizer Daten­schutzrecht zu bearbei­ten und dies ausschliesslich zum bestimmungsgemässen Zweck.

b. Personendaten nur durch Mitarbeitende zu bearbeitet, welche:

  • dazu berechtigt, sowie mit unserer Daten­struk­tur und unseren Daten­schutz­re­geln ver­traut sind

  • zu be­sonders sorgsamem Um­gang mit Personen­daten und zur Wahrung ver­traulicher In­for­mationen ausserhalb unserer Expertenstelle, während und nach Beendigung des Ar­beits­verhältnisses, ver­pfli­ch­tet sind.

c. Personendaten grundsätzlich nur in Staaten mit an­ge­messenem Datenschutz be­kannt zu machen.

d. bei der Bearbeitung ein adäquates Schutzniveau anzuwenden:

  • ausschliessliche Verwendung von bezüglich ihrer Aufgabe als zweckmässig und sicher validierten Netzen, Geräten, Apps und Diensten

  • grundsätzliche Anwendung unseres Standard-Sicher­heits­ni­veaus

  • Anwendung eines Niveaus mit hoher Sicherheit für besonders schützenswerte Daten

  • Verschiebung von Personendaten, vor allem von besonders schützenswerten, in einen Speicher mit höherem Schutzniveau, wenn es die Situation erlaubt

  • Sicherung von zentral gehaltenen, aktiven sowie archivierten Arbeitsdaten als Backup; Wiederherstellung von Backups#R nur gerechtfertigt und protokolliert.

e. Daten gemäss folgenden Grundsätzen zu lenken (Datenmanagement):

  • Verwendung einer übersichtlichen Datenstruktur, in der sich Berechtigungen gruppieren und einfach verwalten lassen

  • Bearbeitung grundsätzlich nur von erforderlichen Personendaten und Löschung von nicht mehr er­for­derlichen Personendaten (dies gilt spätestens ein Jahr nach Ablauf der Verjährung auch für archivierte Dos­siers)

  • Speicherung in ein objektbezogenes, zentrales Arbeits-Dos­sier mit einem ho­hen Schutz­niveau und einer restriktiven Gewährung von Rechten, mit der Möglich­keit der Spiegelung auf «Arbeits­stationen» von Berechtigten

  • zeitnahe Archivierung der Arbeitsdossiers nach Auftragsabschluss, da­mit die Berechtigungen weiter eingeschränkt werden, insbesondere der Inhalt nicht mehr verändert werden kann

  • Reaktivierung von archivierten Dossiers#R ausschliesslich gerechtfertigt und protokolliert mit Nennung des Grundes.

f. betroffene Personen über die Bearbeitung ihrer Daten transparent zu informieren und ihnen ihre Rechte aufzuzeigen:

  • generell auf unserer Homepage mit dieser Datenschutzerklärung

  • spezifisch im Voraus einer Tätigkeit, für die eine Information angezeigt ist

  • auf ihren Antrag auf Auskunft zur eigenen Person.

g. Daten aus Begehungen und Probenahmen von Untersuchungs­objek­ten verhältnis­mäs­sig und verantwortungsvoll zu bearbeiten, insbesondere:

  • Notizen zu Feststellungen, selten welche mit einem Personenbezug

  • Bildaufnahmen aus dem Privat­bereich und Daten zu Proben, grundsätzlich zu einem nicht personen­bezo­genen Zweck i.S.v. Art. 31. Abs. 2 lit. e DSG, über Abweichungen informieren wir die Betroffenen unter Nennung des Grundes

h. Mess- und Analyseergebnisse sowie daraus berechnete weitere physikalische und chemische Parameter und graphische Darstellungen davon so zu dokumentieren:

  • objektiv, verzichten dabei auf ein auto­ma­ti­siertes Zusam­men­führen von Daten aus verschiedenen Quellen#R, auf Ver­wendung von Algorithmen oder neuen Tech­no­logien welche maschinell einen Per­sonenbezug her­zu­stellen und auf die Weitergabe von Daten an Dritte, welche mit diesen solche Methoden anwenden könnten

  • bei personenbezogenen Ergebnissen (Exposition, Dosis) pseudonymisiert.

i. Unterauftragnehmern, Personen mit denen wir Fachwissen tei­len oder For­schen­den, Daten grund­sätzlich anonymi­siert oder pseu­dony­misiert bekanntzu­machen.

j. unsere begutachtenden Berichte mit besonders schützenswerten Daten so zu erstellen, dass:

  • die enthaltene Schlussfolgerung verhältnismässig formuliert ist und eine natür­liche Person (i.d.R. ohne nament­liche Nen­nung) nur erheblich belastet, wenn ein Gesetz oder eine im Auftrag enthaltene Fragestellung dies rechtfertigen

  • ein unübersehbarer Hinweis Dritte auffordert, die genannte Zweckbindung der Personendaten ebenfalls einzuhalten.

k. für Bear­bei­tungen mit dem Potenzial eines hohen Risikos für Betrof­fene, vorgängig eine Datenschutz-Folgeabschät­zung durchzuführen und ein ver­blie­benes Risi­ko mit weiteren technischen und organisatorischen Massnahmen auf ein vertret­bares Niveau zu senken.

l. Hingegen machen wir nur mit ausdrück­licher Einwilligung der betroffenen Person oder deren gesetzlichen Vertretung i.S.v. Art. 6 Abs. 6 DSG:

  • besonders schützenswerte Personendaten ausserhalb der bestellten, begutach­tenden Berichte Drit­ten bekannt zu machen

  • Ton- oder Bildaufnahmen von erkennbaren natürlichen Personen aufzuzeichnen

  • von den Punkten a – k abzuweichen.

4. UMFANG, ART UND ZWECK DER DATENBEARBEITUNG

Wir erhalten Personendaten von der Auftraggeberschaft, den Betroffenen und evtl. von befragten Personen. Vor allem erfassen wir Sachdaten im Objekt in Form von Beobach­tungen, und der Auswertung von Proben. Auch diese können in seltenen Fällen eine Personenbezug haben. Zum Beispiel können Probenahmen über eine längere Zeit erfolgen und aus im Verlauf erkennbaren Mustern kann evtl. unser Experte einen Schluss mit einem Personenbezug ziehen und in seinem begutachtenden Bericht bekannt machen. Es wird kontrovers diskutiert, ob es sich in einem solchen Falle um ein Profiling handelt. Wenn, dann keines mit einem hohen Risiko für Betroffene.

4.1 Stammdaten, in Kombination mit Terminen, Aussagen und Einwilligungen

Wir bearbeiten Stammdaten (Kontaktdaten, ihre Rolle für uns, Verweis auf eine Einwil­ligung) von Personen sowie Terminabsprachen mit diesen und Einwilligungen von Perso­nen. Dies betrifft Personen:

a. deren Stammdaten wir benötigen, um mit diesen kommunizieren, Termin­ab­spra­chen treffen zu können, Verträge anbahnen und abschliessen zu können, Honorarnoten an sie zu richten, ihre Rechnungen bezahlen zu können oder um deren Stammdaten in unsere Berichte zu pub­lizieren

b. welche uns Fragen beantworten, u.U. auch welche zu ihrer Gesundheit und Wohlbefinden, um unsere Untersuchung entsprechend ausrichten zu zu können (Befragte zur statistischen Erfassung von sensorischen Wahrnehmung von Innenräumen gehören nicht dazu)

c. von denen wir eine Einwilligung benötigen, um ihre Daten zu bearbeiten (jedoch verzichten wir grundsätzlich auf Einwilligungen von Betroffenen)

4.2 Korrespondenz, Gesprächsprotokolle und Befragungen

Wir bearbeiten die Korrespondenz, Gesprächsprotokolle und Befragungen von den unter 4.1 er­wähnten Personen um deren Aussagen und Vereinbarungen mit ihnen festzuhalten und bei Bedarf und gegebener Verhältnis­mäs­sigkeit, in Berichten namentlich zitieren zu können. Die Korrespondenz erhalten wir von den Betroffenen.

4.3 Daten aus dem Privatbereich in untersuchten Objekten

Wir erheben und bearbeiten Daten zu Gebäuden, deren Nutzung, Wartung, Verdacht auf Schad­stoffe oder Schä­den sowie Hinweise auf deren Quelle oder Ursache - manchmal auch aus dem Privat­bereich von Be­woh­ner­in­nen und Bewohnern, um die Fragestellung, welche Gegenstand unseres Auftrages ist, zu beantworten. Dies kann auf folgende Bearbeitungen zu­treffen:

a. wir notieren bei unserer Begehung festgestellte Tatsachen, insbesondere Auf­fäl­lig­keiten, welche auch in einem Zusam­menhang mit Personen stehen können, um un­sere Fest­stel­lungen zu dokumentieren

b. wir befragen Personen, welche in einem Zusammenhang mit dem zu untersu­chen­den oder begleitenden Objekt stehen und bearbeiten deren Aussagen weiter.

c. Wir nehmen Proben von Baumaterialien, Oberflächen sowie der Raum­luft und be­stimmen durch Messen, Analysieren und Berechnen physikalische, chemische und mikro­bio­lo­gische Parameter, wenn erforderlich, auch über mehrere Wochen (z.B. Raumklima) oder gar Monate (z.B. Radon), zur Erkennung von Auffällig­keiten, Veri­fizierung eines Ver­dachtes, Quantifizierung einer Belas­tung, dem Auf­zei­gen einer zeitlichen Entwicklung oder einer Korrelation mit anderen Feststel­lungen so­wie mit subjektiven Eindrücken, z.B. Erkennen von Handlungen durch Personen

d. wir erstellen Bildaufnahmen im visuellen Bereich, evt. auch Wärmebilder und wel­che mit konditioniertem Licht, zu einem nicht personenbezogenen Zweck. Dabei werden Räume möglichst unverwechselbar abgebildet, insbesondere als Nachweis­dokument für unsere Arbeit, aber auch um einer Verwechs­lung bei diesen Raum bet­ref­fende Informationen zu Schadstoffen entgegenzuwirken, als auch Detail­auf­nahmen von Auffälligkeiten hinsichtlich der Fragestellung und von Probenahme­stellen gemacht.

Wir bitten betroffene Bewohnerinnen und Bewohner mitzuwirken:
in dem sie vor unserem angekündigten Besuch, Gegenstände, welche sie auf keinen Auf­nahmen abgebildet haben möchten, wegräumen oder verhüllen. Schadhafte oder sonst wie verdächtige Stellen soll­ten einsehbar bleiben oder besser einsehbar ge­macht werden (z.B. der Schim­melscha­den hinter dem Möbel, Ausblühungen etc.).

4.4 Daten von Personen, welche unseren Web-Server nutzen

Von den Besuchern unserer Web-Sites «chur.bauhygiene.ch» oder Personen, welche von dieser Domin Daten herunter laden werden folgende Personendaten bearbeitet:

a. unser Hosting-Partner Hostpoint AG bearbeitet in unserem Auftrag die erforder­lichen Verbindungsdaten im Rahmen einer Interessenabwägung zwischen denen der Betroffenen und seinen sowie den Interessen Dritter. Dabei speichert er Zeit­punkte von Zugriffen und Aktionen zusammen mit der IP-Adresse und der übermit­telter Browser- und OS-Kennung der Besuchenden, sofern dies zur Gefahrenabwehr oder zur rechtlichen Nachverfolgbarkeit notwendig ist.

b. Das GRAV-CMS, auf dem unsere Web-Sites aufgebaut sind, verwendet Cookies. Cookies sind kleine Textdateien, die der Browser von Besuchenden als temporäre Dateien auf ihrem Gerät ablegt.

Besuchende können Cookies im Einstellungsmenü ihres Browsers, i.d.R. unter »Da­ten­schutz/Sicherheit« verwalten. Lediglich die Formulierungen variieren hier bei den un­terschiedlichen Browsern; im Wesentlichen finden man die Cookie-Einstellungen aber in dem Bereich, wo es um die Speicherung lokaler Daten geht. Dabei hat man die Wahl, ob du Cookies generell zulassen oder verweigert werden oder jedes mal danach gefragt werden soll. Dabei ist zu Berücksichtigen, dass dir bei einer Deaktivierung gewisse Funktionen auf unserer Plattform nicht mehr zur Verfügung stehen, weil dem System die Information dafür fehlt.

Es sind keine Analyse-Tools auf unseren Seiten integriert.

5. Betroffene Personen aus dem Europäischen Wirtschaftsraum (EWR)

Wir gehen nicht davon aus, dass die EU-Datenschutzgrundverordnung ("DSGVO") in un­se­rem Fall anwendbar ist. Auch für im EWR domizilierte Personen, gilt für Bearbei­tungen von Personendaten, welche nur ihren Aufenthalt in der Schweiz betreffen (z.B. ihr Ferien­haus), ausschliesslich der Schweizer Datenschutz.

Sollte jedoch ausnahmsweise für bestimmte Datenbearbeitungen die DSGVO verpflich­tend sein, so gilt ausschliesslich nur für diesen Zweck die DSGVO und für die ihr un­ter­liegenden Datenbearbeitungen zusätzlich Ziff. 5a bis c.

Wir stützen die Verarbeitung von auf Personen bezogenen Daten wie in Ziff. 4.1 bis 4.3 beschrieben insbeson­dere darauf,

a. dass sie erforderlich ist zur Wahrung berechtigter privater Interessen von uns (Nachweis unserer Arbeit, Qualitätssicherung) oder von Dritten (Gesundheitsschutz und Abwendung von materiellem Schaden), als auch eines öffentlichen Interesses (Schutz der Umwelt) und teilweise auch gesetzlich vorgeschrieben ist (Art. 6 Abs. 1 lit. f DSGVO);

b. die Auskunftspersonen im Wissen um deren Verwendung Daten gemäss Ziff. 4.3 freiwillig zur Verfügung gestellt haben, damit bei 4.3a eine Bekanntgabe als Zitat in einem Bericht in Kauf genommen haben und bei Ziff. 4.3c eine Bekanntmachung nur mit einer Einwilligung des Betroffenen erfolgt (Art. 6 Abs. 1 lit . a DSGVO);

c. sie aufgrund unseres Auftrags oder unserer Stellung nach dem Recht des EWR bzw. eines Mitgliedsstaats gesetzlich vorgeschrieben oder erlaubt ist (Art. 6 Abs. 1 Bst. c DSGVO) oder erforderlich ist, um deine überwiegenden Interessen oder jene von anderen natürlichen Personen zu schützen (Art. 6 Abs. 1 Bst. d DSGVO).

6. ORT, ART, ZEITRAUM VON BEARBEITUNGEN SOWIE DEREN BEARBEITENDEN

Alle Bearbeitungen von Personendaten erfolgen auf unserer ICT-Infrastruktur und der unseres Hosting-Partners Hostpoint AG in der Schweiz:

a. grundsätzlich durch unsere Mitarbeitenden

b. teilweise automatisch durch das System; es werden jedoch keine automatisierten Einzelentscheide und keine neuen Technologien (KI etc.) verwendet

c. beim Besuch unserer Webseiten oder Nutzung unserer Email-Adressen, durch die Hostpoint AG in Rapperswil

d. bei gegebenem Anlass durch unsere ICT-Systemadministration

e. nur solange diese Bearbeitung für die Auftragserfüllung erforderlich ist, danach werden sie für zehn Jahre archiviert und in dieser Zeit höchstens aus gerechtfertigten Gründen reaktiviert.

7. BEKANNTMACHUNG VON PERSONENDATEN

Wir machen in folgenden Fällen Daten mit einem Personenbezug in der Schweiz und u.U. auch in andere Staaten mit einem ausreichenden Datenschutz bekannt:

a. Gesprächsprotokolle mit den Stammdaten der Eingeladenen, deren Aussagen, auch in diesen enthaltene Informationen zu Personen, werden an die Eingeladenen bekannt gemacht.

b. Berichte von Begutachtungen und deren Anhänge (Mess- und Analyseberichte etc.) werden an Behörden und Auftraggebern, welche diese i.d.R. weiterverbreiten, insbesondere zum Schutz von Mensch und Umwelt bekannt ge­macht. Diese enthalten Stammdaten und Bildaufnahmen (u.U. auch welche aus dem Privat­bereich, mit einer nicht per­sonbezogenen Zweckbindung). Sie können weiter auch Zitate von Aus­kunftsper­so­nen und personenbezogene Schlussfolgerungen des Sachverständigen (aus Beobach­tun­gen, Messungen, Analysen, Berechnungen, Muster in zeitlichen Verläufen) ent­hal­ten.

c. Entsorgungs- und Sicherheitskonzepte mit Stammdaten werden Auftraggebern, Be­hör­den und weiteren am Bauprojekt Beteiligten zum Schutz von Mensch und Um­welt bekannt ge­macht.

d. Ausschreibungsunterlagen mit Stammdaten werden Sanierungsunternehmen be­kannt ge­macht.

e. Berichte über Kontrollen und Schlussberichte bei Sanierungen enthalten Stamm­da­ten und werden den Auftrag­gebern, dem Sanierungsunternehmen und Behörden bekannt gemacht.

8. RECHTE VON BETROFFENEN PERSONEN

8.1 Auskunftsrecht

Betroffene oder deren rechtliche Vertretung können mit einer nachgewiesenen Berechti­gung (Beleg ihrer Identität, respektive Nachweis einer berechtigten Vertretung) Auskunft über die Bearbeitung ihrer Personendaten, unter Angabe möglicher Suchbegriffe, geltend machen. Dazu können sie uns über chur @bauhygiene.ch kontaktieren.

8.2 Recht auf Löschung und Berichtigung

Betroffene können jederzeit die Löschung oder Berichtigung ihrer Personendaten beantra­gen. Wir werden dem Anliegen nachkommen, sofern keine berechtigte Gründe, wie ein Ge­setz, überwiegenden Interessen unsererseits oder Dritter, einer Löschung entgegen­ste­hen. Bei einer Berichtigung ohne einen entsprechenden Beleg, wird der bestehende Ein­trag nur mit der Berichtigung als Anmerkung ergänzt. Eine Berichtigung von bereits Dritten bekanntgemachten Dokumenten muss verhältnismässig sein.

8.3 Rechte wahrnehmen

Sofern eine betroffene Person der Ansicht ist, dass wir hinsichtlich Punkt 8 ihre Rechte ungenügend umsetzen oder auf Grund eines anderen Verstosses unsererseits gegen das Datenschutzgesetz juristisch vorgehen möchte, stehen folgende Möglichkeiten offen:

  • Anzeige an den eidgenössischen Datenschutzbeauftragten via diesem Formular.

  • Zivilrechtliche Klage nach Art. 28 ff. ZGB bzw. Art. 32 Abs. 2 DSG.

9. ÄNDERUNGSVORBEHALT

Wir behalten uns das Recht vor, diese Daten­schutz­er­klä­rung je­der­zeit zu än­dern.