Datenschutzerklärung

1. Allgemeines

«Threema Gateway» stellt eine Programmierschnittstelle («Application Programming Interface», nachfolgend «API») für «Geschäftskunden» der Threema GmbH (nachfolgend «Threema») dar, um die Einbindung eigener IT-Systeme in die Applikationen von Threema zu ermöglichen. Hinweis: Threema Gateway steht grundsätzlich auch Konsumenten zum privaten Gebrauch zur Verfügung; der Einfachheit halber wird im Folgenden aber nur der Begriff des Geschäftskunden als primäres Zielpublikum von Threema Gateway verwendet.

Threema Gateway bildet zusammen mit weiteren Applikationen das Softwareangebot «Threema Work» für Geschäftskunden. Die weiteren Applikationen sind die «Threema Work-App» für Mobilgeräte von «Work-Nutzern» sowie die Dienste des Management-Cockpits von Threema Work (nachfolgend «Threema Work-Cockpit») und «Threema Broadcast».

Die Verwaltung von Threema Gateway durch den Geschäftskunden erfolgt in einem auf den Threema-Servern gehosteten Cockpit (nachfolgend «Threema Gateway-Cockpit»). Der Geschäftskunde kann im Threema Gateway-Cockpit «Gateway-IDs» erstellen, um Informationen aus seinen IT-Systemen als Nachrichten sowohl an Work-Nutzer als auch an Nutzer der Konsumentenversion der «Threema-App» (nachfolgend zusammen «Nutzer») senden und wiederum Nachrichten von diesen in seinen IT-Systemen empfangen zu können. Bei einer Gateway-ID handelt es sich um einen achtstelligen alphanumerischen Code beginnend mit einem «*», zu welchem ein öffentlicher und ein privater Schlüssel gehören.

Datenschutz und Privatsphäre sind untrennbar mit Threema verbunden, weshalb wir Geschäftskunden und weiteren interessierten Personen mit der vorliegenden Datenschutzerklärung die Informationen für eine transparente Bearbeitung ihrer Personendaten zur Verfügung stellen.

A. Geltungsbereich

Die vorliegende Datenschutzerklärung gilt für sämtliche Datenbearbeitungen, welche bei der Nutzung von Threema Gateway in seiner jeweils aktuellsten Version mit Personendaten in Zusammenhang stehen, nämlich:

A. Aufruf des Threema Gateway-Cockpits;
B. Einrichtung des Kundenkontos;
C. Bestellung von Credits;
D. Rechnungsstellung für Credits;
E. Beantragung einer Gateway-ID;
F. Ausgehende Nachrichten einer Gateway-ID (Option «Basic»);
G. Missbrauchsschutz (hCaptcha).

Die vorliegende Datenschutzerklärung gilt grundsätzlich nicht für die Threema Work-App für Mobilgeräte sowie das Threema Work-Cockpit und Threema Broadcast; die drei vorgenannten Applikationen verfügen betreffend Bearbeitung von Personendaten über separate Datenschutzerklärungen. In der vorliegenden Datenschutzerklärung zu Threema Gateway wird ausschliesslich dann auf die drei vorgenannten Applikationen Bezug genommen, sofern sich bestimmte Nutzungen von Threema Gateway auf Personendaten in diesen Applikationen auswirken.

Bei Threema als für die Datenbearbeitung verantwortliche Person handelt es sich um eine Gesellschaft mit beschränkter Haftung nach schweizerischem Recht mit Sitz in Pfäffikon SZ (politische Gemeinde Freienbach), Schweiz, und Unternehmensidentifikationsnummer (nachfolgend «UID») CHE-221.440.104.

Personendaten werden bei der Nutzung von Threema Gateway, sofern nicht anders in dieser Datenschutzerklärung angegeben, ausschliesslich auf Threema-eigenen Servern in zwei Rechenzentren eines «ISO 27001»-zertifizierten Colocation Partners mit Standorten in Zürich, Schweiz, bearbeitet und allenfalls gespeichert (nachfolgend «Threema-Server»).

Als Unternehmen mit Sitz in der Schweiz unterliegen Threema und die von ihr ausgeführten Datenbearbeitungen dem schweizerischen Datenschutzrecht (Bundesgesetz über den Datenschutz vom 25. September 2020, SR 235.1; nachfolgend «DSG»). Für betroffene Personen, die sich auf dem Gebiet der EU oder des EWR aufhalten (gekennzeichnet mit «für EU/EWR»), kann zusätzlich europäisches Datenschutzrecht (Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung; nachfolgend «DSGVO») zur Anwendung gelangen.

Bei Personendaten gemäss Art. 5 lit. a DSG [für EU/EWR: Art. 4 Nr. 1 DSGVO] handelt es sich um Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

B. Verantwortliche

Threema GmbH
Churerstrasse 82
8808 Pfäffikon SZ
Schweiz

UID: CHE-221.440.104

C. Datenschutzberater

Threema GmbH
Datenschutzberater
Churerstrasse 82
8808 Pfäffikon SZ
Schweiz

E-Mail: privacy at threema punkt ch

D. Vertreterin in der EU (Art. 27 DSGVO)

ACC Datenschutz UG
Messestrasse 6
94036 Passau
Deutschland

E. Schweizerische Aufsichtsbehörde

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldweg 1
3003 Bern
Schweiz

Telefon: +41 58 462 43 95
Kontaktformular des EDÖB: Link

2. Bearbeitungstätigkeiten

Je nach Nutzung von Threema Gateway bearbeitet Threema unterschiedliche Kategorien von Personendaten zu unterschiedlichen Zwecken, gestützt auf unterschiedliche Rechtsgrundlagen und mit unterschiedlichen Speicherdauern, falls überhaupt Personendaten gespeichert werden.

A. Aufruf des Threema Gateway-Cockpits

Bearbeitungstätigkeit

Beim Aufruf des Threema Gateway-Cockpits als webbasierte Software werden durch den Browser auf dem Endgerät der betroffenen Person automatisch Informationen, darunter Personendaten, an die Threema-Server gesendet und in einem Logfile gespeichert.

Nach der Bearbeitung der vollständigen IP-Adresse werden im Normalfall nur die ersten zwei Stellen der IP-Adresse im Logfile gespeichert, es sei denn, beim Aufruf der Threema Gateway-Cockpits ist ein Fehler aufgetreten. Bei einem Fehler wird die vollständige IP-Adresse im Logfile gespeichert.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Aufruf des Threema Gateway-Cockpits auf den Threema-Servern bearbeitet und in Logfiles gespeichert:

  • IP-Adresse.

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Auslieferung des Threema Gateway-Cockpits im Browser der betroffenen Person;
  • Informationssicherheit.

Rechtsgrundlage

Die Bearbeitung und Speicherung von IP-Adressen ist technisch notwendig und erfolgt auf Grundlage überwiegender privater Interessen (Auslieferung des Threema Gateway-Cockpits im Browser; Vertragserfüllung; Informationssicherheit) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Die Bearbeitung der IP-Adresse ist technisch notwendig, um das Threema Gateway-Cockpit im Browser der betroffenen Person auszuliefern und dem Geschäftskunden dessen vertraglich vereinbarte Nutzung zu ermöglichen sowie um etwaige technische Fehler zur Erhöhung der Informationssicherheit analysieren zu können.

Speicherdauer

Das beim Aufruf des Threema Gateway-Cockpits erstellte Logfile mit der IP-Adresse der betroffenen Person wird für 10 Tage, gerechnet ab dem Erstelldatum des Logfiles, auf den Threema-Servern gespeichert und anschliessend automatisch gelöscht.

B. Einrichtung des Kundenkontos

Bearbeitungstätigkeit

Um als Geschäftskunde Zugang zu Threema Gateway zu erhalten und den Dienst nutzen zu können, muss der Geschäftskunde ein «Kundenkonto» einrichten.

Die zur Einrichtung des Kundenkontos verwendete E-Mail-Adresse eines Geschäftskunden muss verifiziert werden, um das Kundenkonto und damit den Zugang zu Threema Gateway zu aktivieren.

Zusätzlich wird einem Geschäftskunden bei der Erstellung seines Kundenkontos eine zufällig generierte zehnstellige, alphanumerische «Kundennummer» zugewiesen.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden zur Einrichtung des Kundenkontos auf den Threema-Servern bearbeitet und gespeichert:

  • Kundennummer;
  • E-Mail-Adresse;
  • Name;
  • Adresse;
  • Firma (optional).

Zum Schutz von Threema Gateway vor missbräuchlicher Verwendung setzt Threema bei der Einrichtung des Kundenkontos ein Captcha des Dienstes hCaptcha ein (siehe Ziff. 2.G.).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Nutzung von Threema Gateway durch den Geschäftskunden (Vertragserfüllung).

Rechtsgrundlage

Die Bearbeitung der Personendaten für die Einrichtung des Kundenkontos erfolgt auf Grundlage überwiegender privater Interessen (Nutzung von Threema Gateway durch den Geschäftskunden; Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Die Bearbeitung der Personendaten des Geschäftskunden ist notwendig, um dem Geschäftskunden die vertraglich vereinbarte Nutzung von Threema Gateway zu ermöglichen.

Speicherdauer

Die zur Einrichtung des Kundenkontos gespeicherten Personendaten werden bis auf Widerruf, d.h. bis zur Löschung des Kundenkontos durch den Geschäftskunden im Threema Gateway-Cockpit, auf den Threema-Servern gespeichert und anschliessend nach 14 Tagen gelöscht.

Sofern ein Geschäftskunde über keine «Credits» für Threema Gateway verfügt, keine offenen Bestellungen für Credits hat und sich innerhalb von 1 Jahr nicht mehr im Kundenkonto von Threema Gateway eingeloggt hat, werden das Kundenkonto und alle damit verbundenen Personendaten gelöscht.

Hinweis: Threema untersteht einer gesetzlichen Aufbewahrungspflicht von 10 Jahren in Zusammenhang mit Geschäftsbüchern und Buchungsbelegen, einschliesslich etwaiger Personendaten. Zudem behält sich Threema das Recht vor, alle zum Nachvollzug der Vertragsbeziehung mit einem Geschäftskunden erforderlichen Daten und Dokumente, einschliesslich etwaiger Personendaten, für die Dauer der ordentlichen Verjährungsfrist von 10 Jahren aufzubewahren.

C. Bestellung von Credits

Bearbeitungstätigkeit

Zur Nutzung von Threema Gateway benötigt ein Geschäftskunde Credits. Ein Credit entspricht grundsätzlich einer Nachricht, welche von einer Gateway-ID versendet werden kann.

Der Geschäftskunde kann direkt über das Threema Gateway-Cockpit Credits bestellen. Nach erfolgter Bestellung wird automatisch eine Rechnung an den Geschäftskunden verschickt (siehe Ziff. 2.B.).

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden zur Bestellung von Credits auf den Threema-Servern bearbeitet und gespeichert:

  • Name;
  • Adresse;
  • Firma (optional)
  • E-Mail-Adresse.

Zum Schutz von Threema Gateway vor missbräuchlicher Verwendung setzt Threema bei der Bestellung von Credits ein Captcha des Dienstes hCaptcha ein (siehe Ziff. 2.G.).

Zweck

Die vorgenannten Personendaten werden zu folgenden Zwecken von Threema bearbeitet:

  • Bestellung von Credits durch den Geschäftskunden zur Nutzung von Threema Gateway (Vertragserfüllung).

Rechtsgrundlage

Die Bearbeitung und Speicherung von Personendaten bei der Bestellung von Credits durch Geschäftskunden erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um Verträge mit Geschäftskunden über Credits zur Nutzung von Threema Gateway erfüllen zu können.

Speicherdauer

Name, Adresse und Firma eines betroffenen Geschäftskunden werden bis zur Löschung seines Kundenkontos gespeichert und anschliessend nach 14 Tagen von den Threema-Servern gelöscht, vorbehaltlich Aufbewahrungsrechte und -pflichten (siehe Ziff. 2.B.).

D. Rechnungsstellung für Credits

Bearbeitungstätigkeit

Sobald ein Geschäftskunde Credits bestellt hat (siehe Ziff. 2.C.), werden für die Zahlungsabwicklung die zu seinem Kundenkonto gespeicherten Daten, darunter Personendaten, auf den Threema-Servern bearbeitet.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden zur Rechnungsstellung für Credits auf den Threema-Servern bearbeitet:

  • Kundennummer;
  • Name;
  • Adresse;
  • Firma (optional);
  • E-Mail-Adresse.

Zweck

Die vorgenannten Personendaten werden zu folgenden Zwecken von Threema bearbeitet:

  • Rechnungsstellung für Credits (Vertragserfüllung).

Rechtsgrundlage

Die Bearbeitung von Personendaten zur Rechnungsstellung an den Geschäftskunden erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um Verträge mit Geschäftskunden über Credits zur Nutzung von Threema Gateway erfüllen zu können.

Speicherdauer

Kundennummer, Name, Adresse und Firma eines betroffenen Geschäftskunden werden bis zur Löschung seines Kundenkontos gespeichert und anschliessend nach 14 Tagen von den Threema-Servern gelöscht, vorbehaltlich Aufbewahrungsrechte und -pflichten (siehe Ziff. 2.B.).

Wenn ein Geschäftskunde eine Rechnung innerhalb der jeweils anwendbaren Zahlungsfrist nicht bezahlt, wird die Bearbeitung seiner Personendaten im Rahmen dieser Rechnung automatisch abgebrochen. Der Geschäftskunde wird automatisch über die Löschung der Rechnung informiert.

E. Beantragung einer Gateway-ID

Bearbeitungstätigkeit Sobald ein Geschäftskunde Credits für Threema Gateway erworben hat, kann er über das Threema Gateway-Cockpit bei Threema eine Gateway-ID beantragen.

Der Antrag auf eine Gateway-ID muss insbesondere den vom Geschäftskunden geplanten Anwendungsfall enthalten, damit Mitarbeiter von Threema die technische Machbarkeit prüfen können. Der Antrag wird zusammen mit Personendaten des Geschäftskunden durch Threema bearbeitet.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Versand eines Antrags auf eine Gateway-ID auf den Threema-Servern bearbeitet:

  • Kundennummer;
  • E-Mail-Adresse.

Zum Schutz von Threema Gateway vor missbräuchlicher Verwendung setzt Threema den Dienst hCaptcha ein (siehe Ziff. 2.G.).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Erfassung, Bearbeitung und Beantwortung von Anträgen auf Gateway-IDs.

Rechtsgrundlage

Die Bearbeitung der Personendaten bei Anträgen auf Gateway-IDs erfolgt auf Grundlage überwiegender privater Interessen (Nutzung von Threema Gateway durch den Geschäftskunden; Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Speicherdauer

Ein Antrag auf eine Gateway-ID wird bis auf Widerruf, d.h. bis zur Löschung der entsprechenden Gateway-ID, auf den Threema-Servern gespeichert und anschliessend sofort gelöscht.

Die Speicherdauer der Personendaten des Geschäftskunden richtet sich nach Ziff. 2.B. hiervor.

F. Ausgehende Nachrichten einer Gateway-ID (Option «Basic»)

Bearbeitungstätigkeit

In der Option «Basic» können Geschäftskunden mit Threema Gateway über Gateway-IDs Informationen aus ihren eigenen IT-Systemen als Nachrichten an Nutzer versenden. In der Option «Basic» ist es nicht möglich, Nachrichten von Nutzern zu empfangen. In der Option «Basic» von Threema Gateway werden der öffentliche und private Schlüssel einer Gateway-ID auf den Threema-Servern gespeichert; die Verschlüsselung von ausgehenden Nachrichteninhalten findet ebenfalls auf den Threema-Servern statt.

Nachrichteninhalte werden zwar sofort verschlüsselt, nachdem sie von den IT-Systemen des Geschäftskunden über die API versendet wurden und auf den Threema-Server eingegangen sind, sie werden jedoch vorübergehend unverschlüsselt im Arbeitsspeicher auf den Threema-Servern bearbeitet. Von Nutzern eingehende Nachrichten an eine Gateway-ID werden hingegen vor ihrer Entschlüsselung von den Threema-Servern gelöscht.

Hinweis: Mit der Option «End-to-End» von Threema Gateway werden Nachrichteninhalte einer Gateway-ID nie auch nur vorübergehend unverschlüsselt auf den Threema-Servern bearbeitet, sondern auf den IT-Systemen des Geschäftskunden sowohl verschlüsselt als auch entschlüsselt. Der private Schlüssel einer Gateway-ID verbleibt beim Geschäftskunden, womit Threema keine Möglichkeit hat, verschlüsselte Nachrichteninhalte einer solchen Gateway-ID zu entschlüsseln und lesen.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Versand von Nachrichten durch eine Gateway-ID (Option «Basic») auf den Threema-Servern bearbeitet:

  • Nachrichteninhalte (vorübergehend unverschlüsselt).

Zweck

Die vorgenannten Personendaten werden zu folgenden Zwecken von Threema bearbeitet:

  • Nutzung der vertraglich vereinbarten Funktionen von Threema Gateway in der Option «Basic» durch den Geschäftskunden (Vertragserfüllung).

Rechtsgrundlage

Die Bearbeitung von Personendaten beim Versand und Empfang von Nachrichten durch eine Gateway-ID (Option «Basic») erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um Geschäftskunden die vertragsgemässe Nutzung von Threema Gateway in der Option «Basic» zu ermöglichen.

Speicherdauer

Die von einer Gateway-ID versendeten und empfangenen Nachrichten werden in unverschlüsselter Form nie dauerhaft auf den Threema-Servern gespeichert.

Falls der Empfänger der Nachricht einer Gateway-ID über keine Verbindung zu den Threema-Servern verfügt, wird die Nachricht einer Gateway-ID ausschliesslich in verschlüsselter Form für maximal 14 Tage, gerechnet ab dem ersten Zustellversuch, gespeichert und anschliessend automatisch gelöscht.

G. Missbrauchsschutz (hCaptcha)

Bearbeitungstätigkeit

Zum Schutz von Threema Gateway vor missbräuchlicher Verwendung durch maschinell abgesendete Formulare setzt Threema bei sämtlichen in Threema Gateway verwendeten Formularen und Anmeldefenstern das Captcha des Dienstes «hCaptcha» ein.

hCaptcha ist ein Dienst von Intuition Machines, Inc., 350 Alabama St, San Francisco, CA 94110, USA (nachfolgend «Intuition Machines»). hCaptcha ist «ISO 27001»-zertifiziert. Nähere Informationen zum Datenschutz bei Intuition Machines finden Geschäftskunden unter diesem externen Link.

Die USA als Sitzstaat von Intuition Machines und wahrscheinlicher Ort der Datenbearbeitung des Dienstes hCaptcha steht nicht auf der Staatenliste im Anhang 1 zur Verordnung über den Datenschutz vom 31. August 2022 («DSV»; SR. 235.11) und bietet deshalb keinen angemessenen Datenschutz; Art. 16 Abs. 1 DSG in Verbindung mit Art. 8 Abs. 1 DSV.

Deshalb werden die an Intuition Machines bekanntgegebenen Personendaten vor ihrer Bekanntgabe auf den Threema-Servern in einen einwegverschlüsselten Hashwert umgewandelt.

Hinweis: Es werden somit keine Personendaten an Intuition Machines bekanntgegeben; eine Bestimmbarkeit von Geschäftskunden ist somit ausgeschlossen.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Lösen eines Captchas auf den Threema-Servern bearbeitet und in pseudonymisierter Form an Intuition Machines bekanntgegeben:

  • IP-Adresse (einwegverschlüsselt).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet und in pseudonymisierter Form an Intuition Machines bekanntgegeben:

  • Informationssicherheit.

Rechtsgrundlage

Die Bearbeitung von IP-Adressen auf den Threema-Servern und ihre Bekanntgabe in pseudonymisierter Form an Intuition Machines erfolgt auf Grundlage überwiegender privater Interessen (Missbrauchsschutz) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um Threema Gateway vor missbräuchlicher Verwendung durch maschinell abgesendete Formulare zu schützen.

Speicherdauer

Die IP-Adressen von Geschäftskunden werden nach ihrer Pseudonymisierung und Bekanntgabe an Intuition Machines in pseudonymisierter Form sofort von den Threema-Servern gelöscht.

3. Bekanntgabe von Daten an Dritte

Personendaten, welche bei der Nutzung von Threema Gateway durch den Geschäftskunden übermittelt und auf den Threema-Servern bearbeitet und gespeichert werden, gibt Threema grundsätzlich nicht an Dritte bekannt.

Threema behält sich das Recht vor, Personendaten an Dritte (z.B. Rechtsanwälte) bekanntzugeben, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch Threema erforderlich ist.

4. Beschaffung von Daten bei Dritten

Personendaten, welche bei der Nutzung von Threema Gateway durch den Geschäftskunden übermittelt und auf den Threema-Servern bearbeitet und gespeichert werden, beschafft Threema grundsätzlich direkt beim Geschäftskunden.

5. Datensicherheit

Threema ergreift zusätzlich zur Anwendung modernster Verschlüsselungsverfahren sämtliche notwendigen technischen und organisatorischen Massnahmen, um den unbefugten Zugriff auf und den Missbrauch von Daten in Threema Gateway zu verhindern. Die Sicherheitsmassnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

6. Kontrollmöglichkeiten

Zusätzlich zu den gesetzlichen Ansprüchen des Datenschutzrechts (siehe Ziff. 7) gewährt Threema Geschäftskunden nachfolgende Kontrollmöglichkeiten über ihre Personendaten:

Berichtigen, Vervollständigen und Löschen aller gespeicherten Personendaten

Geschäftskunden können jederzeit gespeicherte Personendaten im Threema Gateway-Cockpit berichtigen, vervollständigen oder löschen, insbesondere durch Löschen ihres Kundenkontos.

Vorbehalten bleiben Aufbewahrungsrechte und -pflichten von Threema (siehe Ziff. 2.B.).

7. Rechte betroffener Personen

Betroffene Personen, deren Personendaten im Rahmen der Nutzung von Threema Gateway bearbeitet werden, können verschiedene datenschutzrechtliche Ansprüche gegenüber Threema geltend machen.

Sofern Threema Personendaten im Auftrag eines Geschäftskunden bearbeitet, d.h. als Auftragsbearbeiterin, richten sich die datenschutzrechtlichen Ansprüche betroffener Personen in erster Linie gegen den Geschäftskunden als für die Datenbearbeitung verantwortliche Person. Threema unterstützt den Geschäftskunden bei der Erfüllung von datenschutzrechtlichen Ansprüchen betroffener Personen.

Zur Erfüllung dieser Ansprüche muss Threema allenfalls Personendaten von betroffenen Personen bearbeiten. Insbesondere muss Threema in der Lage sein, die betroffene Person zu identifizieren, um sicherzustellen, dass die Betroffenenrechte von keiner anderen als der betroffenen Person ausgeübt werden und keine Personendaten widerrechtlich an Dritte bekanntgegeben werden.

Abhängig vom anwendbaren Recht können betroffene Personen folgende Rechte in Zusammenhang mit Personendaten gegenüber Threema geltend machen:

Recht auf Auskunft

Art. 25 und 26 DSG [für EU/EWR: Art. 15 DSGVO]

Eine betroffene Person hat das Recht, Auskunft über ihre von Threema bearbeiteten Personendaten zu verlangen.

Recht auf Berichtigung oder Vervollständigung

Art. 32 Abs. 1 DSG [für EU/EWR: Art. 16 DSGVO]

Eine betroffene Person hat das Recht, von Threema unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Personendaten zu verlangen.

Recht auf Löschung

Art. 32 Abs. 2 DSG [für EU/EWR: Art. 17 DSGVO]

Eine betroffene Person hat das Recht, von Threema innert nützlicher Frist die Löschung ihrer Personendaten zu verlangen.

Recht auf Widerruf

nur bei Datenbearbeitung auf Grundlage von Einwilligung; Art. 30 Abs. 2 DSG [für EU/EWR: Art. 7 Abs. 3 DSGVO]

Eine betroffene Person hat das Recht, ihre Einwilligung in die Bearbeitung ihrer Personendaten durch Threema zu widerrufen. Dies hat zur Folge, dass Threema die Datenbearbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen darf. Die bis zu diesem Zeitpunkt aufgrund Einwilligung des Geschäftskunden erfolgte Bearbeitung seiner Personendaten durch Threema bleibt rechtmässig.

Recht auf Widerspruch

nur bei Datenbearbeitung auf Grundlage von überwiegenden Interessen; Art. 30 Abs. 2 DSG [für EU/EWR: Art. 21 DSGVO]

Eine betroffene Person hat das Recht, Widerspruch gegen die Bearbeitung ihrer Personendaten durch Threema einzulegen, sofern die entsprechenden Personendaten auf Grundlage von überwiegenden privaten Interessen von Threema bearbeitet werden; Art. 31 DSG [für EU/EWR: Art. 6 Abs. 1 lit. f DSGVO].

Recht auf Sperrung

Art. 32 DSG [für EU/EWR: Art. 18 DSGVO]

Eine betroffene Person hat das Recht, zum Schutz ihrer Persönlichkeit die Sperrung der Bearbeitung ihrer Personendaten durch Threema zu verlangen.

Recht auf Datenübertragung

Art. 28 und 29 DSG [für EU/EWR: Art. 20 DSGVO] [nur bei Datenbearbeitung auf Grundlage von Einwilligung oder Vertrag und mithilfe automatisierter Verfahren]

Eine betroffene Person hat das Recht, ihre Personendaten, welche sie Threema bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sofern:

  • die Bearbeitung auf einer Einwilligung oder auf einem Vertrag beruht; und
  • die Bearbeitung mithilfe automatisierter Verfahren erfolgt.

8. Aktualität und Änderung der Datenschutzerklärung

Threema behält sich vor, diese Datenschutzerklärung gelegentlich anzupassen, um geänderten rechtlichen Anforderungen gerecht zu werden oder neue Funktionalitäten in der Datenschutzerklärung umzusetzen. Die aktuelle Datenschutzerklärung ist stets im Threema Gateway-Cockpit verlinkt.