Datenschutzerklärung der Ideal Payment AG

1. Einleitung
   Gestützt auf Artikel 13 der schweizerischen Bundesverfassung und den datenschutzrechtlichen Bestimmungen des Bundes (Datenschutzgesetz, DSG) sowie - soweit anwendbar - der EU-Datenschutzgrundverordnung (DSGVO) hat jede Person Anspruch auf Schutz ihrer Privatsphäre sowie auf Schutz vor Missbrauch der persönlichen Daten. Der Schutz Ihrer persönlichen Daten ist uns wichtig. Sie können von uns erwarten, dass wir sensibel und sorgfältig mit Ihren Daten umgehen und ein hohes Mass an Datensicherheit gewährleisten. Diese Datenschutzerklärung erläutert die Beschaffung und weitere Bearbeitung von Personendaten durch die Ideal Payment AG – im Folgenden auch als «wir» bezeichnet -soweit diese sich nicht aus den Umständen ergeben oder gesetzlich geregelt sind.

2. Identität und Kontaktdaten des Verantwortlichen
   Verantwortliche Stelle im Sinne des Schweizerischen Datenschutzgesetzes (DSG) und der EU-Datenschutzgrundverordnung (DSGVO) ist:
   
   Ideal Payment AG
   Europa-Strasse 19
   8152 Glattbrugg
   UID: CHE-435.386.713
   E-Mail: info@ideal-payment.ch
   Website: www.ideal-payment.ch
   
   Die Ideal Payment AG hat keinen Datenschutzberater bzw. Datenschutzbeauftragten im Sinne von Art. 10 DSG bzw. Art. 37 DSGVO ernannt. Allfällige datenschutzrechtliche Anfragen, Ansprüche oder Auskünfte sind an die vorerwähnten Kontaktdaten des Verantwortlichen zurichten.

3. Zweck der Bearbeitung und Rechtsgrundlage
   Wir bearbeiten Ihre unter nachfolgend Ziffer 4 genannten personenbezogenen Daten für folgende Zwecke:

   • Zur Erteilung von Auskünften zum Zwecke der Identitätsfeststellung und zur Prüfung der Kreditwürdigkeit der betroffenen Person: Dieser Zweck beinhaltet die Dienstleistungen einer Kreditauskunftei mit Management von Kreditrisiken (Berechnung einer zukünftigen Zahlungsausfallswahrscheinlichkeit).
     
   • Zum Abschluss und zur Abwicklung Ihres Vertragsverhältnisses (insb. der Faktura und zugehörigen Buchhaltung von Rechnungen und Raten) sowie zur Bearbeitung Ihrer Anfragen bzw. Ihrer Bestellungen (Art. 30 sowie Art. 31 Abs. 1 und Abs. 2 Bst. a DSG / Art. 6 Abs. 1 Bst. b DSGVO): Die Zwecke der Datenverarbeitung richten sich dabei nach dem beabsichtigten Geschäft. Wir erheben diese Daten, um Ihnen gegenüber unsere Leistungen zu erbringen oder um solche von Ihnen beziehen zu können.
     
   • Zum Betrieb unserer Webseite (Art. 30 sowie Art. 31 Abs. 1 und Abs. 2 Bst. b DSG / Art. 6 Abs. 1Bst. b und f DSGVO): Dies beinhaltet insbesondere die Verwaltung der Nutzer der Webseite und der darauf getätigten Aktivitäten, den Betrieb und die Weiterentwicklung der Webseite, die Sicherstellung eines problemlosen Verbindungsaufbaus, die Auswertung der Systemsicherheit und -stabilität und weitere administrative Zwecke.
     
   • Zur Prozess- und Angebotsoptimierung (Art. 30 sowie Art. 31 Abs. 1 und Abs. 2 Bst. e DSG / Art. 6 Abs. 1 Bst. a und f DSGVO): Dazu gehören die Qualitätskontrolle, die Erstellung von Statistiken, Budgets und Managementinformationen sowie deren Auswertung, die Marktforschung, die Weiterentwicklung von Produkten und Dienstleistungen sowie des Unternehmens und seiner Prozesse.
     
   • Zur Einhaltung der rechtlichen und regulatorischen Anforderungen (Art. 30 sowie Art. 31 Abs. 1 DSG / Art. 6 Abs. 1 Bst. c DSGVO): Wir verarbeiten Ihre Daten zur Erfüllung der gesetzlichen Verpflichtungen, denen wir unterliegen. Dazu gehört die Verarbeitung von Daten im Rahmen von Auskunftspflichten gegenüber Behörden sowie der Einhaltung von steuer- und/ oder handelsrechtlichen Vorschriften (z.B. Aufbewahrungspflichten von Geschäfts- und Buchhaltungsunterlagen).
     

4. Kategorien der bearbeiteten Personendaten
   Folgende Kategorienpersonenbezogener Daten können von uns im Zusammenhang mit unseren Leistungen verarbeitet werden:

   • Identitätsdaten: Dazugehören insbesondere, aber nicht abschliessend, Vor- und Nachname(n), Ledigname(n), Geburts- und Sterbedaten, Geburts- oder Heimatort/-land, Geschlecht, Titel, Verbindungen zu juristischen Personen inklusive Funktionen, Adresse, Firmensitz, Telefonnummer, Fax, E-Mail, URL Website.
     
   • Daten zum Geschäftsverkehr mit unseren Kunden und Interessenten: Dazu gehören insbesondere, aber nicht abschliessend, Angaben zum bisherigen Geschäftsverkehr, Daten im Zuge der Abfrage durch Kunden in der CRIF-Datenbank sowie Datenbanken der Ideal Payment AG („Abfragedaten“, inklusive allenfalls darin enthaltene Bestelldaten), Angaben zu geschäftlichen Anfragen, Angeboten, Konditionen und Verträgen über gelieferte und verkaufte sowie bestellte und gekaufte Produkte und Dienstleistungen, Angaben im Zusammenhang mit Rückfragen, Beschwerden und Differenzen zu Produkten und Dienstleistungen bzw. den dazu geschlossenen Verträgen wie etwa Gewährleistungs- und Garantiefälle, Rücktritte, etc.
     
   • Zahlungserfahrungsdaten in Zusammenhang mit unserer Tätigkeit als buchhalterischer Dienstleister sowie als Inkassounternehmen: Dazu gehören Daten über die Einhaltung von Zahlungszielen und zu Forderungen, sowie Daten über betreibungsrechtliche Massnahmen und Daten aus Betreibungsauskünften.
     
   • Daten zur Bonitätsbeurteilung in Zusammenhang mit unserer Tätigkeit als Payment Provider sowie als Inkassounternehmen: Wie beispielsweise aggregierte Bonitätskriterien und Score Werte.
     
   • Unternehmensbezogene Daten: Dies können Daten aus dem Handelsregister wie UID-Nummer, Organ-Funktionen inklusive Vertretungsbefugnisse und Unternehmenszweck, sowie gewerbebezogene Daten (Daten zu Gewerbeberechtigung, Tätigkeitsbeschreibung oder Branche) sein.
     
   • Finanzdaten, wie bspw. Daten zur Bankverbindung, Zahlungsangaben und andere Zahlungsdetails, Rechnungs- und Lieferadressen, Bezahldaten zur Durchführung von Online-Zahlungen, etc.
     
   • Daten im Zusammenhang mit der Nutzung der Webseite: Dazu gehören insbesondere, aber nicht abschliessend, IP-Adresse und andere Identifikatoren (z.B. Benutzername bei sozialen Medien, MAC-Adresse des Smartphones oder Computers, Cookies, webbeacons, pixel tags, log files, local shared objects (Flash Cookies) oderanderer Technologien, die automatisiert Personendaten sammeln), Datum und Zeit des Besuchs oder der Nutzung der Websites, abgerufene Seiten und Inhalte, verweisende Webseiten, etc. (vgl. dazu auch nachfolgend Ziffer 8).
     
   • Daten und Unterlagen zu Personaldokumenten (z.B. ID, Pass, Fahrausweis) und Bildern für die Identifikation bei Auskunftsbegehren.
     
   • Daten aus öffentlichen Registern und Bekanntmachungen gemäss Art. 35 SchKG: Zum Beispiel Daten der Einwohnerkontrolle, Anzeigen einer Konkurseröffnung, Nachlassstundung oder Gläubigerversammlung.
     
   • Hinweise auf missbräuchliches oder potenziell missbräuchliches Verhalten: Z.B. bei Identitäts-, Anschrifts- oder Bonitätstäuschungsversuchen.
     
   • Einschätzung hinsichtlich der Zustellbarkeit bei Adressen
     

5. Kategorien von Empfängern von Daten
   Grundsätzlich erfolgt eine Weitergabe Ihrer personenbezogenen Daten ohne Ihre ausdrückliche vorherige Einwilligung nur an die nachfolgend genannten Empfänger:

   • Unsere angebundene Bonitätsdatenbank der CRIF AG: Als Partner für Risk-Abfragen, werden für Bonitätsabfragen und zur Einlieferung von Erfahrungsdaten Informationen an die CRIF AG weitergegeben. Nachfolgend die Datenschutzerklärung der CRIF AG:
     https://www.crif.ch/datenschutz/
   • Kunden/Partner der Ideal Payment AG mit berechtigtem Interesse an den jeweils bereitgestellten Informationen: Dies sind insbesondere Unternehmen der Kreditwirtschaft und des (Internet-)Handels, die gegenüber betroffenen Personen in Vorleistung treten (z.B. Kauf auf offene Rechnung, etc.), Unternehmen, die gesetzlichen Prüfpflichten unterliegen. Es können nur Geschäftspartner der Ideal Payment AG Daten beziehen, welche ein schriftliches Vertragsverhältnis eingegangen sind, in welchem sie sich zur Einhaltung sämtlicher anwendbarer datenschutzrechtlicher Vorschriftenverpflichten.
     
   • Öffentlichen Stellen und Behörden: Wenn es zur Aufklärung einer rechtswidrigen Nutzung unserer Dienste oder für die Rechtsverfolgung erforderlich ist, werden personenbezogene Daten an die Strafverfolgungsbehörden sowie gegebenenfalls an geschädigte Dritte weitergeleitet. Dies geschieht jedoch nur dann, wenn konkrete Anhaltspunkte für ein gesetzwidriges beziehungsweise missbräuchliches Verhalten vorliegen. Eine Weitergabe kann auch dann stattfinden, wenn dies der Durchsetzung von Nutzungsbedingungen oder anderer Vereinbarungen dient. Wir sind zudem gesetzlich verpflichtet, auf Anfrage bestimmten öffentlichen Stellen Auskunft zu erteilen. Dies sind Strafverfolgungsbehörden, Behörden, die bussgeldbewährte Ordnungswidrigkeiten verfolgen und die Finanzbehörden. Die Weitergabe dieser Daten erfolgt auf Grundlage unseres berechtigten Interesses an der Bekämpfung von Missbrauch, der Verfolgung von Straftaten und der Sicherung, Geltendmachung und Durchsetzung von Ansprüchen, Art. 30 und Art. 31 Abs. 1 DSG sowie Art. 6 Abs. 1 Bst. f DSGVO.
     
   • Auftragsverarbeiter: Es ist möglich, dass wir für die Erbringung unserer Leistungen vertraglich verbundene externe Dienstleister („Auftragsverarbeiter“) beiziehen. In solchen Fällen werden personenbezogene Daten an diese Auftragsverarbeiter weitergegeben, um diesen die weitere Bearbeitung zu ermöglichen. Diese Auftragsverarbeiter werden von uns sorgfältig ausgewählt und regelmässig überprüft. Die Auftragsverarbeiter dürfen die Daten ausschliesslich zu den von uns vorgegebenen Zwecken verwenden und werden darüber hinaus von uns vertraglich verpflichtet, Ihre Daten ausschliesslich gemäss dieser Datenschutzerklärung sowie den anwendbaren Datenschutzgesetzen zu behandeln. Zum Beispiel verwenden wir IT-Dienstleister für die Bereitstellung von Cloud-Diensten, Soft- und Hardware sowie für die Durchführung von Wartungsarbeiten. Die Weitergabe von Daten an Auftragsverarbeiter erfolgt auf Grundlage von Art. 9 DSG bzw. Art. 28 Abs. 1 DSGVO, hilfsweise auf Grundlage unseres berechtigten Interesses an den mit dem Einsatz von spezialisierten Auftragsverarbeitern verbundenen wirtschaftlichen und technischen Vorteilen und dem Umstand, dass Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten nicht überwiegen, Art. 31 Abs. 1 DSG bzw. Art. 6 Abs. 1 Bst. f DSGVO.
     

6. Datenübermittlung ins Ausland
   Ihre personenbezogenen Daten werden grundsätzlich nur in der Schweiz von uns bearbeitet. Es kann aber vorkommen, dass wir Ihre Daten an vertrauenswürdige Empfänger in Drittländern (sowohl in Europa als auch weltweit) übermitteln. Dies geschieht ausschliesslich indirekt über Übermittlungen an die CRIF AG (siehe Datenschutzerklärung unter Ziffer 5).

7. Dauer der Aufbewahrung von Personendaten
   Wir (sowie Dritte, denen wir die Personendaten bekannt geben, weil sie diese für uns bearbeiten) verarbeiten und speichern Ihre Personendaten, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten oder der Durchsetzung unserer vertraglichen und gesetzlichen Rechte oder sonst die mit der Bearbeitung verfolgten Zwecke erforderlich ist, d.h. namentlich für die Dauer der gesamten Geschäftsbeziehung(von der Anbahnung, Abwicklung bis zur Beendigung sowie Durchsetzung – etwa im Rahmen der Zwangsvollstreckung – eines Vertrags) sowie darüber hinaus gemäss den gesetzlichen Aufbewahrungs- und Dokumentationspflichten. Dabei ist es möglich, dass Personendaten für die Zeit aufbewahrt werden, in der Ansprüche gegen unser Unternehmen geltend gemacht werden können oder unser Unternehmen selbst Ansprüche geltend machen kann und soweit wir anderweitig gesetzlich dazu verpflichtet sind oder berechtigte Geschäftsinteressen dies erfordern (z.B. für Beweis- und Dokumentationszwecke). Sobald Ihre Personendaten für die obengenannten Zwecke nicht mehr erforderlich sind, werden sie grundsätzlich und soweit möglich gelöscht oder anonymisiert. Für betriebliche Daten (z.B. System Protokolle, Logs), gelten grundsätzliche kürzere Aufbewahrungsfristen von zwölf Monaten.

8. Automatisierte Datenerhebung und Verarbeitung auf unserer Website
   Auf unserer Websitesetzen wir verschiedene Techniken ein, mit denen wir und von uns beigezogenen Dritte Sie bei Ihrer Nutzung wiedererkennen und unter Umständen auch über mehrere Besuche hinweg verfolgen können.

   • Notwendige Cookies: Einige Cookies sind für das Funktionieren der Website als solche oder bestimmte Funktionen notwendig. Sie stellen z.B. sicher, dass Sie zwischen den Seiten wechseln können, ohne dass in einem Formular eingegebene Angaben verloren gehen. Sie stellen ausserdem sicher, dass Sie eingeloggt bleiben. Diese Cookies bestehen nur temporär («Session Cookies»). Falls Sie sie blockieren, funktioniert die Website möglicherweise nicht. Andere Cookies sind notwendig, damit der Server von Ihnen getroffene Entscheide oder Eingaben über eine Sitzung (d.h. einen Besuch der Website) hinaus speichern kann, falls Sie diese Funktion beanspruchen (z.B. gewählte Sprache, erteilte Einwilligung, die Funktion für ein automatisches Einloggen etc.).
     
   • Performance Cookies: Um unsere Website und entsprechende Angebote zu optimieren und besser auf die Bedürfnisse der Benutzer abzustimmen, nutzen wir Cookies, um die Verwendung unserer Website aufzuzeichnen und zu analysieren, unter Umständen auch über die Sitzung hinaus. Das tun wir durch den Einsatz von Analyse-Diensten von Drittanbietern. Diese haben wir unten aufgeführt. Bevor wir solche Cookies einsetzen, bitten wir Sie um Ihre Zustimmung. Sie können diese über die Cookie-Einstellungen jederzeit widerrufen.
     
   • Google Analytics: Google Irland (mit Sitz in Irland) ist der Anbieter des Dienstes «Google Analytics» und fungiert als unser Auftragsbearbeiter. Google Irland stützt sich hierfür auf Google LLC (mit Sitz in den USA) als ihr Auftragsbearbeiter (beide «Google»).Google verfolgt dabei durch Performance Cookies (s. oben) das Verhalten der Besucher auf unserer Website (Dauer, Häufigkeit der aufgerufenen Seiten, geographische Herkunft des Zugriffs etc.) und erstellt für uns auf dieser Grundlage Berichte über die Nutzung un-serer Website. Wir haben den Dienst so konfiguriert, dass die IP-Adressen der Besucher von Google in Europa vor einer Weiterleitung in die USA gekürzt werden und dadurch nicht zurückverfolgt werden können. Wir haben die Einstellungen «Datenweitergabe» aus- und «Signals» eingeschaltet. Obwohl wir annehmen können, dass die Informationen, welche wir mit Google teilen, für Google keine Personendaten sind, ist es möglich, dass Google von diesen Daten für eigene Zwecke Rückschlüsse auf die Identität der Besucher ziehen, personenbezogene Profile erstellen kann und ausserdem sicher, dass Google diese Daten mit den Google-Konten von Personen, welche der personalisierten Werbung zugestimmt haben, verknüpft. Falls Sie der Nutzung von Google Analytics zustimmen, willigen sie explizit einer solchen Bearbeitung zu, welche auch die Übermittlung von Personendaten (insbesondere Nutzungsdaten zur Webseite und App, Geräteinformationen und individuelle IDs) in die USA und in andere Staaten ein.
     
     Informationen zum Datenschutz von Google Analytics
     
     Informationen zur Bearbeitung durch Google (falls Sie über ein Google-Konto verfügen)
   • Google Ads: Unsere Webseite nutzt das Google Conversion-Tracking. Sind Sie über ei-ne von Google geschaltete Anzeige auf unsere Webseite gelangt, wird von Google Ads ein „Cookie“ (siehe oben) auf Ihrem Rechner gesetzt. Diese Cookies verlieren nach 30 Tagen ihre Gültigkeit und dienen nicht der persönlichen Identifizierung. Besucht der Nutzer bestimmte Seiten unserer Webseite und das Cookie ist noch nicht abgelaufen, können wir und Google erkennen, dass der Nutzer auf die Anzeige geklickt hat und zu dieser Seite weitergeleitet wurde. Jeder Google Ads-Kunde erhält ein anderes Cookie. Cookies können somit nicht über die Webseiten von Ads-Kunden nachverfolgt werden. Die mithilfe des Conversion-Cookies eingeholten Informationen dienen dazu, Conversion-Statistiken für Ads-Kunden zu erstellen, die sich für Conversion-Tracking entschieden haben. Die Kunden erfahren die Gesamtanzahl der Nutzer, die auf ihre Anzeigegeklickt haben und zu einer mit einem Conversion-Tracking-Tag versehenen Seite weitergeleitet wurden. Sie erhalten jedoch keine Informationen, mit denen sich Nutzer persönlich identifizieren lassen. Möchten Sie nicht am Trackingteilnehmen, können Sie das hierfür erforderliche Setzen eines Cookies ablehnen– etwa per Browser-Einstellung, die das automatische Setzen von Cookies generell deaktiviert oder Ihren Browser so einstellen, dass Cookies von der Domain «googleleadservices.com» blockiert werden. Bitte beachten Sie, dass Sie die Opt-out-Cookies nicht löschen dürfen, solange Sie keine Aufzeichnung von Messdaten wünschen. Haben Sie alle Ihre Cookies im Browser gelöscht, müssen Sie das jeweilige Opt-out Cookie erneut setzen. Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung von Google Ads ist Art. 30 und Art. 31 Abs. 1 DSG sowie Art. 6 Abs. 1 Bst. f DSGVO.