Datenschutzerklärung

Diese Datenschutzerklärung erläutert, welche Personendaten wofür, wie und wo bearbeitet werden, im Zusammenhang mit www.vitalshopost.ch und allen weiteren damit verbundenen eigenen Online­angeboten von Vitalshop Ost oder zugehörigen Partnern (nachfolgend Anbieter genannt). Diese Er­klärung gilt sinngemäss und wo anwendbar auch für alle physischen Verkaufsstandorte des Anbie­ters und beinhaltet auch die Handhabung von Informationen bei Coaching- und Dienstleistungs­produkten, unabhängig davon, ob dies online oder über persönliche Kontakte erfolgt. Diese Daten­schutzerklärung informiert über die Rechte von Personen, deren Daten bearbeitet werden.

Für einzelne oder zusätzliche Angebote und Leistungen können besondere, ergänzende oder weitere Datenschutzerklärungen sowie sonstige rechtliche Dokumente gelten. Das Angebot des Anbieters unterliegt dem Schweizerischen Datenschutzrecht.

1   Kontaktadressen

Verantwortung für die Bearbeitung von Personendaten:

Vitalshop Ost
Ahornstrasse 6
9100 Herisau, Schweiz

sales@vitalshopost.ch

Der Anbieter weist darauf hin, wenn bei der Bearbeitung von Personendaten Dritte beteiligt sind.

2   Bearbeitung von Personendaten

2.1  Begriffe

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person bezie­hen. Eine betroffene Person ist eine Person, über die Personendaten bearbeitet werden. Bearbeiten umfasst jeden Umgang mit Personendaten, unabhängig von den angewandten Mitteln und Verfahren, insbesondere das Aufbewahren, Bekanntgeben, Beschaffen, Erheben, Löschen, Speichern, Verändern, Vernichten und Verwenden von Personendaten.

2.2 Rechtsgrundlagen

Der Anbieter bearbeitet Personendaten im Einklang mit dem Schweizerischen Datenschutzrecht wie insbesondere dem Bundesgesetz über den Datenschutz (DSG) und der Verordnung zum Bundesgesetz über den Datenschutz (VDSG).

Gemäss der Datenschutz-Grundverordnung (DSGVO) erfolgt die Bearbeitung von Personendaten gemäss mindestens einer der folgenden Rechtsgrundlagen:

  • 6 Abs. 1 lit. b DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung eines Vertrages mit der betroffenen Person sowie zur Durchführung vorvertraglicher Massnahmen.
  • 6 Abs. 1 lit. f DSGVO für die erforderliche Bearbeitung von Personendaten, um die berechtig­ten Interessen vom Anbieter oder von Dritten zu wahren, sofern nicht die Grundfreiheiten und Grundrechte sowie Interessen der betroffenen Person überwiegen. Berechtigte Interessen sind insbesondere das Interesse des Anbieters, das Angebot dauerhaft, nutzerfreund­lich, si­cher und zuverlässig bereitzustellen sowie dafür bei Bedarf werben zu können, die Informati­ons­sicherheit sowie der Schutz vor Missbrauch und unbefugter Nutzung, die Durchsetzung von eigenen rechtlichen Ansprüchen und die Einhaltung von Schweizerischem Recht.
  • 6 Abs. 1 lit. c DSGVO für die erforderliche Bearbeitung von Personendaten zur Erfüllung einer rechtlichen Verpflichtung, falls der Anbieter gemäss allenfalls anwendbarem Recht von Mitgliedstaaten im Europäischen Wirtschaftsraum (EWR) dieser unterliegt.
  • 6 Abs. 1 lit. e DSGVO für die erforderliche Bearbeitung von Personendaten zur Wahrneh­mung einer Aufgabe, die im öffentlichen Interesse liegt.
  • 6 Abs. 1 lit. a DSGVO für die Bearbeitung von Personendaten mit Einwilligung der betroffe­nen Person.
  • 6 Abs. 1 lit. d DSGVO für die erforderliche Bearbeitung von Personendaten, um lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person zu schüt­zen.

2.3 Art, Umfang und Zweck

Der Anbieter bearbeitet jene Personendaten, die erforderlich sind, um sein Angebot dauerhaft, nutzerfreundlich, sicher und zuverlässig bereitstellen zu können. Solche Personendaten können in die Kategorien von Bestandes- und Kontaktdaten, Browser- und Gerätedaten, Inhaltsdaten, Meta- beziehungsweise Randdaten und Nutzungsdaten, Standortdaten, Verkaufs-, Vertrags- und Zahlungsdaten fallen.

Personendaten bearbeitet der Anbieter während jener Dauer, die für den jeweiligen Zweck beziehungsweise die jeweiligen Zwecke oder gesetzlich erforderlich ist. Personendaten, deren Bearbeitung nicht mehr erforderlich ist, werden anonymisiert oder gelöscht. Personen, deren Daten bearbeitet werden, haben grundsätzlich ein Recht auf Löschung.

Personendaten bearbeitet der Anbieter grundsätzlich nur nach Einwilligung der betroffenen Person, es sei denn, die Bearbeitung ist aus anderen rechtlichen Gründen zulässig, beispielsweise zur Erfüllung eines Vertrages mit der betroffenen Person und für entsprechende vorvertragliche Massnahmen, um die überwiegenden berechtigten Interessen des Anbieters zu wahren, weil die Bearbeitung aus den Umständen ersichtlich ist oder nach vorgängiger Information.

In diesem Rahmen bearbeitet der Anbieter insbesondere Angaben, die eine betroffene Person bei der Kontaktaufnahme – beispielsweise per Briefpost, E-Mail, Kontaktformular, Social Media oder Telefon – oder bei der Registrierung auf dem Onlineshop oder für ein Nutzerkonto freiwillig und selbst an den Anbieter übermittelt. Solche Angaben können beispielsweise in einem Adressbuch, ERP-System oder mit vergleichbaren Hilfsmitteln gespeichert werden. Sofern eine Person Personendaten über Dritte an den Anbieter übermittelt, ist diese Person verpflichtet, den Datenschutz gegenüber solchen Dritten zu gewährleisten sowie die Richtigkeit solcher Personendaten sicherzustellen.

Der Anbieter bearbeitet ausserdem Personendaten, die er von Dritten erhält, aus öffentlich zugänglichen Quellen beschafft oder bei der Bereitstellung seines Angebotes erhebt, sofern und soweit eine solche Bearbeitung aus rechtlichen Gründen zulässig ist.

2.4 Bearbeitung von Personendaten durch Dritte, auch im Ausland

Der Anbieter kann Personendaten durch beauftragte Dritte bearbeiten lassen oder gemeinsam mit Dritten sowie mit Hilfe von Dritten bearbeiten oder an Dritte übermitteln. Bei solchen Dritten handelt es sich insbesondere um Anbieter, deren Leistungen der Anbieter in Anspruch nimmt, z.B. Vermarktungspartner. Der Anbieter gewährleistet auch bei solchen Dritten einen angemessenen Datenschutz.

Solche Dritte befinden sich grundsätzlich in der Schweiz sowie im Europäischen Wirtschaftsraum (EWR). Solche Dritte können sich aber auch in sonstigen Staaten und Territorien auf der Erde befinden, sofern deren Datenschutzrecht nach Einschätzung des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) und – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – nach Einschätzung der Europäischen Kommission – einen angemessenen Datenschutz gewährleistet, oder wenn aus anderen Gründen, wie beispielsweise durch eine entsprechende vertragliche Vereinbarung, insbesondere auf Grundlage von Standardvertragsklauseln, oder durch eine entsprechende Zertifizierung, ein angemessener Datenschutz gewährleistet ist. Ausnahmsweise kann sich ein solcher Dritter in einem Land ohne angemessenen Datenschutz befinden, sofern dafür die datenschutzrechtlichen Voraussetzungen wie beispielsweise die ausdrückliche Einwilligung der betroffenen Person erfüllt werden.

3   Rechte von betroffenen Personen

Betroffene Personen, deren Personendaten der Anbieter bearbeitet, verfügen über die Rechte gemäss Schweizerischem Datenschutzrecht. Dazu zählen das Recht auf Auskunft sowie das Recht auf Berichtigung, Löschung oder Sperrung der bearbeiteten Personendaten.

Betroffene Personen, deren Personendaten der Anbieter bearbeitet, können – sofern und soweit die Datenschutz-Grundverordnung (DSGVO) anwendbar ist – unentgeltlich eine Bestätigung verlangen, ob ihre Personendaten bearbeitet werden und, falls ja, Auskunft über die Bearbeitung ihrer Personendaten verlangen, die Bearbeitung ihrer Personendaten einschränken lassen, ihr Recht auf Datenübertragbarkeit wahrnehmen sowie ihre Personendaten berichtigen, löschen («Recht auf Vergessen»), sperren oder vervollständigen lassen.

Betroffene Personen, deren Personendaten der Anbieter bearbeitet, können – sofern und soweit die DSGVO anwendbar ist – eine erteilte Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen und jederzeit Widerspruch gegen die Bearbeitung ihrer Personendaten erheben.

Betroffene Personen, deren Personendaten der Anbieter bearbeitet, verfügen über ein Beschwerderecht bei einer zuständigen Aufsichtsbehörde. Aufsichtsbehörde für den Datenschutz in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).

Diese Rechte sind nicht anwendbar auf Daten, die der Anbieter aufgrund administrativer, rechtlicher oder sicherheitsrelevanter Notwendigkeiten aufbewahren muss.

4   Datensicherheit

Der Anbieter trifft angemessene technische und organisatorische Massnahmen, um den Datenschutz und insbesondere die Datensicherheit zu gewährleisten. Allerdings kann die Bearbeitung von Personendaten im Internet trotz solcher Massnahmen immer Sicherheitslücken aufweisen. Der Anbieter kann deshalb keine absolute Datensicherheit gewährleisten.

Der Zugriff auf das Online-Angebot des Anbieters erfolgt mittels Transportverschlüsselung (SSL/TLS, insbesondere mit dem Hypertext Transfer Protocol Secure, abgekürzt HTTPS). Die meisten Browser kennzeichnen Transportverschlüsselung mit einem Vorhängeschloss in der Adressleiste.

Der Zugriff auf das Online-Angebot des Anbieters unterliegt – wie grundsätzlich jede Internet-Nutzung – der anlasslosen und verdachtsunabhängigen Massenüberwachung sowie sonstigen Überwachung durch Sicherheitsbehörden in der Schweiz, in der Europäischen Union (EU), in den Vereinigten Staaten von Amerika (USA) und in anderen Staaten. Der Anbieter kann keinen direkten Einfluss auf die entsprechende Bearbeitung von Personendaten durch Geheimdienste, Polizeistellen und andere Sicherheitsbehörden nehmen.

5   Nutzung der Website

5.1 Cookies

Der Anbieter kann Cookies für seine Website oder andere seiner Onlineangebote verwenden. Bei Cookies – bei eigenen Cookies (First-Party-Cookies) als auch bei Cookies von Dritten, deren Dienste der Anbieter nutzt (Cookies von Dritten beziehungsweise Third-Party-Cookies) – handelt es sich um Daten, die im Browser der betroffenen Person gespeichert werden. Solche gespeicherten Daten müssen nicht auf traditionelle Cookies in Textform beschränkt sein. Cookies können keine Programme ausführen oder Schadsoftware wie Trojaner und Viren übertragen.

Cookies können beim Besuch der Website oder anderer eigener Onlineangebote des Anbieters im Browser der betroffenen Person temporär als «Session Cookies» oder für einen bestimmten Zeitraum als sogenannte permanente Cookies gespeichert werden. «Session Cookies» werden automatisch gelöscht, wenn der Browser der betroffenen Person geschlossen wird. Permanente Cookies haben eine bestimmte Speicherdauer. Sie ermöglichen insbesondere, den Browser der betroffenen Person beim nächsten Besuch der Website oder anderer eigener Onlineangebote des Anbieters wiederzuerkennen und dadurch beispielsweise die Reichweite der Website oder anderer Onlineangebote zu messen. Permanente Cookies können aber beispielsweise auch für Online-Marketing verwendet werden.

Die betroffene Person kann Cookies in ihren Browser-Einstellungen jederzeit ganz oder teilweise deaktivieren sowie löschen. Ohne Cookies stehen die Website oder andere eigene Onlineangebote des Anbieters allenfalls nicht mehr in vollem Umfang zur Verfügung. Der Anbieter erbittet – sofern und soweit erforderlich – aktiv die ausdrückliche Einwilligung der betroffenen Person für die Verwendung von Cookies.

Bei Cookies, die für die Erfolgs- und Reichweitenmessung oder für Werbung verwendet werden, ist für zahlreiche Dienste ein allgemeiner Widerspruch («Opt-out») über die Network Advertising Initiative (NAI), YourAdChoices (Digital Advertising Alliance) oder Your Online Choices (European Interactive Digital Advertising Alliance, EDAA) möglich.

5.2 Server-Logdateien

Der Anbieter kann für jeden Zugriff auf seine Website oder andere seiner Onlineangebote nachfolgende Angaben erfassen, sofern diese vom Browser der betroffenen Person an die Server-Infrastruktur des Anbieters übermittelt werden oder von seinem Webserver ermittelt werden können: Datum und Zeit einschliesslich Zeitzone, Internet Protocol (IP)-Adresse, Zugriffsstatus (HTTP-Statuscode), Betriebssystem einschliesslich Benutzeroberfläche und Version, Browser einschliesslich Sprache und Version, aufgerufene einzelne Unter-Seiten der Website oder anderer eigener Onlineangebote des Anbieters, einschliesslich übertragener Datenmenge, zuletzt im gleichen Browser-Fenster aufgerufene Website (Referer beziehungsweise Referrer).

Der Anbieter speichert solche Angaben, die auch Personendaten darstellen können, in Server-Logdateien. Die Angaben sind erforderlich, um das Online-Angebot des Anbieters dauerhaft, nutzerfreundlich und zuverlässig bereitstellen sowie um die Datensicherheit und damit insbesondere den Schutz von Personendaten sicherstellen zu können – auch durch Dritte oder mit Hilfe von Dritten.

6   Dienste von Dritten

Der Anbieter verwendet Dienste von Dritten, um sein Angebot dauerhaft, nutzerfreundlich, sicher und zuverlässig bereitstellen zu können. Solche Dienste dienen auch dazu, Inhalte in die Website oder andere eigene Onlineangebote des Anbieters einbetten zu können. Solche Dienste – beispielsweise Hosting- und Speicherdienste, Video-Dienste und Zahlungsdienste – benötigen die Internet Protocol (IP)-Adresse der betroffenen Person, da solche Dienste die entsprechenden Inhalte ansonsten nicht übermitteln können. Solche Dienste können sich ausserhalb der Schweiz und des Europäischen Wirtschaftsraumes (EWR) befinden, sofern ein angemessener Datenschutz gewährleistet ist.

Für ihre eigenen sicherheitsrelevanten, statistischen und technischen Zwecke können Dritte, deren Dienste der Anbieter nutzt, auch Daten im Zusammenhang mit dem Angebot des Anbieters sowie aus anderen Quellen – unter anderem mit Cookies, Logdateien und Zählpixeln – aggregiert, anonymisiert oder pseudonymisiert bearbeiten.

6.1 Digitale Infrastruktur

Der Anbieter nutzt Dienste von Dritten, um benötigte digitale Infrastruktur für sein Angebot in Anspruch nehmen zu können. Dazu zählen insbesondere Hosting- und Speicherdienste von spezialisierten Anbietern. Solche Anbieter bearbeiten dafür – üblicherweise ausschliesslich im Auftrag des Anbieters – jene Daten, die für den Betrieb dieser Infrastruktur erforderlich sind. Dazu zählt insbesondere die Internet Protocol (IP)-Adresse der betroffenen Person. Der Anbieter gewährleistet auch bei solchen Anbietern einen angemessenen Datenschutz.

  • Diese Daten sowie alle Daten dieser Website werden beim Hosting-Provider centron GmbH, La Tour-de-Peilz VD, Schweiz gespeichert (Datenschutzerklärung: www.centron.de/data-protection).
  • Blog-Hosting und Website-Baukasten, WordPress.com: Automattic Inc. (USA) / Aut O’Mattic A8C Ireland Ltd. (Irland) für Nutzerinnen und Nutzer unter anderem auf dem europäischen Festland, Datenschutzerklärung: «Automattic und die Datenschutz-Grundverordnung (DSGVO)».
  • WooCommerce: während des Bezahlvorgangs und dem Besuch der Onlineangebote werden vom Anbieter Daten der betroffenen Person wie folgt gesammelt und gespeichert: Standort, IP-Adresse und Browsertyp: diese Informationen werden erhoben, um z.B. Steuern und Versandkosten zu berechnen. Die Lieferadresse mit Ursprungsland wird abgefragt, damit z.B. die Versandkosten vor Abschluss von Bestellung und Versand abgeschätzt werden können oder zur Überprüfung der Versandberechtigung ins entsprechende Land.
  • Bexio und Raptus WooCommerce Bexio Automator: Alle aus buchhalterischen und steuerlichen Gründen notwendigen Daten (z.B. Vorname, Name, Adresse, E-Mail-Adresse, Telefonnummer, Sprachwahl) sowie alle Angaben zur Bestellung (Produkte, Mengen- und Preisangaben), Versand- und Zahlungsweise werden automatisch via das Plugin «Raptus WooCommerce Bexio Automator» an das Buchhaltungssystem bexio.com übertragen. Es besteht ein sogenannter Auftragsverarbeitungs-Vertrag (AVV) zwischen der bexio AG und dem Anbieter (Vitalshop Ost oder zugehörige Partner) zur Wahrung der Rechte der betroffenen Person. Die Datenschutzerklärung der bexio AG wird angewendet: www.bexio.com/de-CH/richtlinien/datenschutz. Die Übermittlung von Daten der betroffenen Person an die bexio AG erfolgt auf Grundlage von Art. 6 Abs. 1 lit. a DSGVO (Einwilligung) und Art. 6 Abs. 1 lit. b DSGVO (Verarbeitung zur Erfüllung eines Vertrags). Daten der betroffenen Person werden auf dem Websiteserver gespeichert, verschlüsselt (per SSL) per E-Mail an den Anbieter und die betroffene Person übermittelt und zu Steuerzwecken aufbewahrt. Diese Daten können zu steuerlichen und juristischen Zwecken von den zuständigen Behörden und Gerichten eingesehen werden.
  • Weitere WordPress-Plugins: Alle weiteren Plugins, die auf dieser Website oder zugehörigen Onlineangeboten des Anbieters im Einsatz stehen, dienen der Funktionalität und speichern oder übermitteln gemäss Recherchen des Dienstleistungspartners des Anbieters nach bestem Wissen und Gewissen keine personenbezogenen Daten.

6.2 Kartenmaterial

Der Anbieter verwendet Google Maps, um Karten in seiner Website oder anderen eigenen Onlineangeboten einbetten zu können. Dabei kommen auch Cookies zum Einsatz. Google Maps ist ein Dienst der amerikanischen Google LLC. Für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz ist die irische Google Ireland Limited verantwortlich. Weitere Angaben über Art, Umfang und Zweck der Datenbearbeitung finden sich in den Grundsätzen für Datenschutz und Sicherheit und in der Datenschutzerklärung jeweils von Google, im Leitfaden zum Datenschutz in Google-Produkten (einschliesslich Google Maps), in den Informationen, wie Google Daten von Websites verwendet, auf denen Google-Dienste genutzt werden und in den Informationen über Cookies bei Google. Ausserdem besteht die Möglichkeit, Widerspruch gegen personalisierte Werbung zu erheben.

6.3 Schriftarten und Icons

Der Anbieter verwendet Google Fonts zur einheitlichen Darstellung von Schriftarten. Beim Aufruf einer Seite lädt der Browser der betroffenen Person die benötigten Web Fonts in den Browsercache, um Texte und Schriftarten korrekt anzuzeigen. Es handelt sich um einen Dienst der amerikanischen Google LLC, der unabhängig von anderen Google-Diensten angeboten wird. Für Nutzerinnen und Nutzer im Europäischen Wirtschaftsraum (EWR) und in der Schweiz ist die irische Google Ireland Limited verantwortlich. Weitere Angaben über Art, Umfang und Zweck der Datenbearbeitung finden sich in den Grundsätzen für Datenschutz und Sicherheit sowie in der Datenschutzerklärung von Google.

6.4 Nutzungsanalyse

6.4.1 Google-Analytics

Der Anbieter verwendet Google Analytics, um die Website-Nutzung zu analysieren. Über die gewonnenen Statistiken kann der Anbieter sein Angebot verbessern und seine Webseite optimieren. Der Dienst wird von der Google LLC bereitgestellt und verwendet Cookies. Die durch die Cookies gesam­melten Informationen werden im Regelfall an einen Google-Server in den USA übertragen und dort gespeichert. Google beachtet dabei die Datenschutzbestimmungen des „EU-US Privacy Shield“-Abkommens. Die im Rahmen von Google Analytics vom Browser der betroffenen Person übermittelte IP-Adresse wird anonymisiert und nicht mit anderen Daten von Google zusammengeführt, sodass kein personenbezogenes Tracking durch die Nutzung der Website oder anderer eigener Onlineangebote des Anbieters stattfindet. Die betroffene Person kann die Nutzung von Google Analytics verhindern mit diesem Plugin.

6.4.2 Google Tag Manager

Der Anbieter verwendet Google Tag Manager, um sogenannte Website-Tags über eine Oberfläche verwalten und so z.B. Google Analytics sowie andere Google-Marketing-Dienste in seinem Onlineangebot einbinden zu können. Der Tag Manager selbst, welcher die Tags implementiert, verarbeitet keine personenbezogenen Daten der betroffenen Person. Im Hinblick auf die Verarbeitung der personenbezogenen Daten der betroffenen Person wird auf die entsprechende Datenschutzerklärung von Google verwiesen.

7   SSL-Verschlüsselung

Diese Seite nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel von Anfragen, die von der betroffenen Person an den Seitenbetreiber bzw. den Anbieter gesendet werden, eine SSL-Verschlüsselung. Eine verschlüsselte Verbindung ist daran erkennbar, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt und an dem Schloss-Symbol in der Browserzeile der betroffenen Person.

Wenn die SSL-Verschlüsselung aktiviert ist, können die Daten, die die betroffene Person an den Anbieter übermittelt, nicht von Dritten mitgelesen werden.

8   Schlussbestimmungen

Diese Datenschutzerklärung kann vom Anbieter jederzeit angepasst und ergänzt werden. Der Anbieter wird über solche Anpassungen und Ergänzungen in geeigneter Form informieren, insbesondere durch Veröffentlichung der jeweils aktuellen Datenschutzerklärung auf seiner Website oder anderen zugehörigen Onlineangeboten.

Haben Sie Fragen zu dieser Datenschutzerklärung? Kontaktieren Sie uns! Wir stehen Ihnen gerne zur Verfügung.