Datenschutzerklärung

Online-Shop der Schweizerischen Gesellschaft für Ernährung SGE-SSN

Als Organisation im Gesundheitsbereich bearbeitet die Schweizerische Gesellschaft für Ernährung SGE-SSN Personendaten. Der Schutz dieser Daten ist für uns ein zentrales Anliegen.

Der Begriff «Datenbearbeitung» umfasst alle Schritte im Umgang mit Personendaten von der Erhebung über die Speicherung und Nutzung bis zur Löschung.

1. Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung:

Schweizerische Gesellschaft für Ernährung SGE-SSN
Eigerplatz 5
3007 Bern
E-Mail: info@sge-ssn.ch

Bei Fragen zum Datenschutz kann die zuständige Stelle unter info@sge-ssn.ch kontaktiert werden.

2. Geltungsbereich

Diese Datenschutzerklärung gilt ausschliesslich für den Online-Shop unter der Domain sge-ssn.myshopify.com. Für die Hauptwebseite www.sge-ssn.ch gilt eine separate Datenschutzerklärung.

Der Online-Shop wird über die E-Commerce-Plattform Shopify Inc. (Ottawa, Kanada) betrieben.

Für externe Webseiten gelten die jeweiligen Datenschutzbestimmungen der Dritten.

3. Wie werden Daten bearbeitet?

3.1. Grundsätze der Datenbearbeitung

Die SGE-SSN bearbeitet Personendaten nach den folgenden Grundsätzen:

•        Alle Datenbearbeitungen erfolgen nach geltendem Recht (Rechtmässigkeit).

•        Die Bearbeitung erfolgt transparent und nachvollziehbar (Treu und Glauben).

•        Es werden nur notwendige Daten erhoben (Verhältnismässigkeit).

•        Daten werden nur für den angegebenen Zweck verwendet (Zweckbindung).

•        Die Daten werden korrekt und aktuell gehalten (Richtigkeit).

•        Technische und organisatorische Massnahmen schützen die Daten (Datensicherheit).

3.2. Rechtsgrundlagen der Datenbearbeitung

Die Bearbeitung von Personendaten erfolgt ausschliesslich auf der Grundlage des Bundesgesetzes über den Datenschutz (DSG). Folgende Rechtsgrundlagen dienen als Basis:

•        Die Bearbeitung erfolgt, wenn eine ausdrückliche Einwilligung vorliegt. Diese kann jederzeit widerrufen werden (Einwilligung).

•        Die Bearbeitung ist erforderlich, um einen Kaufvertrag zu erfüllen (Vertragserfüllung).

•        Die Bearbeitung erfolgt zur Einhaltung gesetzlicher Verpflichtungen erfolgt nach Schweizer Obligationenrecht (Gesetzliche Pflichten).

•        Die Bearbeitung ist zulässig bei berechtigtem Interesse (z.B. Betrugsprävention) (Berechtigtes Interesse).

3.3. Datenbearbeitung allgemein

Wir erstellen bei umfangreicher Bearbeitung von Daten eine Datenschutz-Folgenabschätzung (DSFA). Ein Verzeichnis der Bearbeitungstätigkeiten liegt intern vor.

4. Welche Daten werden bearbeitet?

4.1. Bestelldaten

Bei einer Bestellung werden folgende Daten erhoben:

•        Name und Vorname

•        E-Mail-Adresse

•        Lieferadresse

•        Rechnungsadresse (falls abweichend)

•        Bestellte Produkte und Mengen

•        Bestelldatum und Bestellnummer

•        Zahlungsinformationen (siehe Abschnitt 4.2)

Die Daten werden zur Abwicklung der Bestellung verwendet. Die Speicherung erfolgt zur Erfüllung gesetzlicher Aufbewahrungspflichten.

4.2. Zahlungsdaten

Die Zahlungsabwicklung erfolgt über Shopify Payments (bereitgestellt durch Stripe, Inc., USA).

Folgende Zahlungsdaten werden bearbeitet:

•        Karteninformationen (Kreditkarte, verschlüsselt)

•        Google Pay-Zahlungsinformationen (falls gewählt)

•        Zahlungsbetrag und Transaktionsdatum

•        Transaktionsstatus

Wichtiger Hinweis: Die SGE-SSN speichert keine vollständigen Kreditkartendaten.

Die Zahlungsabwicklung erfolgt über Shopify Payments / Stripe mit PCI-DSS-Zertifizierung. Die Zahlungsdaten werden an Stripe, Inc. (USA) übermittelt. Die Datenübermittlung erfolgt auf Basis von Standardvertragsklauseln nach EDÖB.

4.3. Kundenkontodaten

Bei einer getätigten Bestellung und oder bei einer aktiven SGE-Mitgliedschaft wird ein Kundenkonto angelegt.. In diesem Fall werden zusätzlich folgende Daten gespeichert:

•        E-Mail-Adresse (Anmeldename)

•        Bestellhistorie

•        Gespeicherte Adressen

Das Kundenkonto kann auf Anfrage jederzeit gelöscht werden.

4.4. Technische Daten beim Shop-Besuch

Der Online-Shop wird über Shopify Inc. (Kanada) betrieben. Beim Besuch des Shops werden automatisch folgende technische Daten erfasst:

•        IP-Adresse des Geräts

•        Datum und Uhrzeit des Zugriffs

•        Aufgerufene Seiten und Produkte

•        Verwendeter Browser und Betriebssystem

•        Zuvor besuchte Webseite (Referrer)

•        Übertragene Datenmenge

Diese Daten dienen der technischen Bereitstellung des Shops, der Sicherheit und der Betrugsprävention. Die Speicherung erfolgt für eine begrenzte Zeit.

4.5. Mailings

Bei Tätigung einer Bestellung stimmt die Käuferschaft dem Versand von unkommerziellen und kommerziellen E-Mails zu. Dazu werden folgende Daten verwendet:

•        E-Mail-Adresse

•        Name (falls angegeben)

Die Abmeldung von Mailings ist mit der Löschung der Kundenkontodaten jederzeit möglich.

4.6. Cookies und Tracking

Der Online-Shop verwendet Cookies. Cookies sind kleine Textdateien, die auf dem Gerät gespeichert werden. Folgende Cookies werden verwendet:

Notwendige Cookies (Shopify):

•        _shopify_visit, _shopify_s (Session-Verwaltung, Warenkorb)

•        _tracking_consent (Tracking-Einwilligung)

•        Speicherdauer: Maximal 12 Monate

Analyse-Cookies:

•        Google Analytics: _ga, _gid (anonymisierte Webseitenanalyse)

•        Shopify Analytics (Shop-Statistiken)

•        Speicherdauer: Maximal 12 Monate

Cookie-Verwaltung:

•        Die Speicherung von Cookies kann im Browser deaktiviert werden.

•        Bestehende Cookies können gelöscht werden.

•        Gewisse Funktionen des Shops stehen dann möglicherweise nicht zur Verfügung.

4.7. Profiling und automatisierte Entscheidung

«Profiling», d.h. eine automatisierte Bearbeitung von Daten zu Analyse- und Prognosezwecken, findet bei der SGE-SSN aktuell nicht statt. Automatisierte Entscheidungen werden nicht getroffen.

5. Zwecke der Datenbearbeitung

Die SGE-SSN bearbeitet Personendaten für folgende Zwecke:

•        Bereitstellung und technische Funktion des Online-Shops (E-Commerce-Betrieb).

•        Verarbeitung von Bestellungen, Zahlungsabwicklung, Versand der Produkte (Bestellabwicklung).

•        Bearbeitung von Anfragen, Versandbestätigungen, Rechnungsstellung (Kundenkommunikation).

•        Versand von Informationen bei vorheriger Anmeldung (Mailing).

•        Schutz vor unberechtigten Zugriffen, Betrug und Missbrauch (Sicherheit).

•        Anonymisierte Auswertung zur Verbesserung des Shops (Statistik).

•        Erfüllung gesetzlicher Aufbewahrungs- und Meldepflichten (Art. 958f OR) (Gesetzliche Pflichten).

6. Weitergabe von Daten

6.1. E-Commerce-Plattform: Shopify Inc.

Der Online-Shop wird über die E-Commerce-Plattform Shopify Inc. betrieben:

•        Name: Shopify Inc.

•        Sitz: Ottawa, Kanada

•        Zweck: E-Commerce-Plattform, Hosting, technische Infrastruktur

•        Rechtsgrundlage: Auftragsbearbeitungsvertrag nach Art. 9 DSG

•        Datenschutzerklärung: https://www.shopify.com/legal/privacy

Shopify verarbeitet Bestelldaten, Kundenkontodaten und technische Daten als Auftragsbearbeiter.

6.2. Zahlungsdienstleister: Shopify Payments / Stripe

Die Zahlungsabwicklung erfolgt über Shopify Payments (bereitgestellt durch Stripe, Inc.):

•        Name: Stripe, Inc.

•        Sitz: San Francisco, USA

•        Zweck: Zahlungsabwicklung für Kreditkarten und Google Pay

•        Rechtsgrundlage: Vertragserfüllung, Standardvertragsklauseln nach EDÖB

•        Datenschutzerklärung: https://stripe.com/privacy

Stripe ist PCI-DSS-zertifiziert und verarbeitet Zahlungsdaten verschlüsselt.

6.3. Versanddienstleister: Schweizerische Post

Der Versand der Produkte erfolgt über die Schweizerische Post:

•        Name: Schweizerische Post AG

•        Sitz: Bern, Schweiz

•        Zweck: Versand und Zustellung (nur Schweiz)

•        Übermittelte Daten: Name, Adresse, Sendungsnummer

•        Rechtsgrundlage: Vertragserfüllung

6.4. Weitere Dienstleister

Die SGE-SSN arbeitet mit folgenden weiteren Dienstleistern zusammen:

BAND:

•        Sitz: Schweiz

•        Zweck: Versandvorbereitung

•        Datenschutzerklärung: https://www.band.ch/datenschutzerklarung

Google Analytics:

•        Sitz: USA

•        Zweck: Webseitenanalyse (IP-Kürzung, pseudonymisiert)

•        Opt-out: https://tools.google.com/dlpage/gaoptout

•        Datenschutzerklärung: https://support.google.com/analytics/answer/6004245

Alle Dienstleister sind vertraglich zur Einhaltung des Datenschutzes verpflichtet.

6.5. Behörden

Bei gesetzlicher Verpflichtung können Daten an Behörden weitergegeben werden.

7. Datenübermittlung ins Ausland

Einzelne Dienstleister übermitteln Daten ins Ausland. Basierend auf dem DSG gelten folgende Regelungen:

Kanada (Shopify Inc.):

•        Angemessenes Datenschutzniveau nach Art. 16 Abs. 1 DSG

•        Rechtsgrundlage: Auftragsbearbeitungsvertrag nach Art. 9 DSG

USA (Stripe, Google, Facebook, Mailchimp):

•        KEIN angemessenes Datenschutzniveau

•        Rechtsgrundlage: Standardvertragsklauseln nach EDÖB

•        Risiko: US-Behörden können unter bestimmten Umständen auf Daten zugreifen.

Bei Übermittlung in Länder ohne angemessenes Schutzniveau werden die Standardvertragsklauseln nach EDÖB eingesetzt.

8. Datensicherheit

Die SGE-SSN setzt angemessene technische und organisatorische Sicherheitsmassnahmen (TOM) ein.

Die Bearbeitung von Personendaten im Internet kann jedoch trotz dieser Massnahmen immer Sicherheitslücken aufweisen.

Eine absolute Datensicherheit kann nicht garantiert werden.

Wir sind jedoch bestrebt, durch kontinuierliche Verbesserung der Sicherheitsmassnahmen die Risiken zu minimieren.

Technische und organisatorische Massnahmen zum Schutz der Daten:

•        SSL/TLS-Verschlüsselung der Datenübertragung (Verschlüsselung).

•        Zugriffsbeschränkungen und Berechtigungskonzepte (Zugriffskontrolle).

•        Regelmässige Sicherheitsupdates der Shopify-Plattform (Updates).

•        Sichere Speicherung und regelmässige Backups durch Shopify (Backups).

•        Schulung der Mitarbeitenden im Datenschutz (Schulung).

•        Shopify ist ISO 27001-zertifiziert und erfüllt PCI-DSS-Standards (Zertifizierung).

Ein vollständiger Schutz ist technisch dennoch nicht möglich. Restrisiken bestehen. Wir übernehmen keine Haftung für die Sicherheit elektronisch übermittelter Daten.

9. Einsatz neuer Technologien

Wir experimentieren mit Large Language Models (LLM). Dies für spezifische Zwecke, z.B. Textübersetzung, Dokumentenerstellung.

Alle Ergebnisse der KI-Systeme durchlaufen vor der Veröffentlichung eine persönliche, redaktionelle Überprüfung durch die verantwortlichen Fachpersonen.

10. Aufbewahrungsdauer

Die SGE-SSN speichert und bearbeitet Personendaten nur so lange wie nötig:

•        10 Jahre nach Abschluss der Bestellung (Bestelldaten).

•        10 Jahre nach Transaktion (Zahlungsdaten).

•        Bis zur Löschung des Kontos oder nach 3 Jahren Inaktivität (Kundenkontodaten).

•        Bis zur Abmeldung (Newsletter-Daten).

•        Maximal 12 Monate (Technische Daten, Cookies).

•        Bis zur vollständigen Bearbeitung (Anfragen).

Nach Ablauf der Fristen werden die Daten gelöscht oder anonymisiert.

11. Rechte der betroffenen Personen

Nach dem DSG bestehen folgende Rechte:

•        Auskunft über bearbeitete Personendaten (Auskunftsrecht).

•        Korrektur unrichtiger Daten (Berichtigungsrecht).

•        Löschung nicht mehr benötigter Daten (soweit keine Aufbewahrungspflicht besteht) (Löschungsrecht).

•        Einschränkung der Bearbeitung in bestimmten Fällen (Einschränkungsrecht).

•        Widerspruch gegen Datenbearbeitungen (insbesondere Direktwerbung) (Widerspruchsrecht).

•        Herausgabe von Daten in gängigem Format (Datenübertragungsrecht).

•        Widerruf erteilter Einwilligungen (mit Wirkung für die Zukunft) (Widerrufsrecht).

Zur Ausübung der Rechte kann die SGE-SSN unter info@sge-ssn.ch kontaktiert werden. Eine Identifikation kann daraus folgend erforderlich sein. Die Bearbeitung erfolgt innerhalb der gesetzlich festgelegten Frist.

12. Beschwerderecht

Bei Unzufriedenheit mit der Datenbearbeitung kann eine direkte Beschwerde bei der SGE-SSN (Adressangaben oben) oder beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) eingereicht werden:

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter EDÖB
Feldeggweg 1
3003 Bern
www.edoeb.admin.ch

13. Änderungen

Diese Datenschutzerklärung kann jederzeit angepasst werden. Die aktuelle Version ist auf der Webseite verfügbar.

Stand: Bern, April 2026