Datenschutzrichtlinie AHVeasy

Die IGS Informatikgesellschaft für Sozialversicherungen GmbH (CHE-104.812.919), mit Sitz in St.Gallen SG (nachfolgend «IGS GmbH»), betreibt im Auftrag der unter Support aufgeführten Ausgleichskassen (nachfolgend «Vertragspartner») die Webseiten www.ahveasy.ch und www.eadminportal.ch (nachfolgend «Webseiten») sowie alle AHVeasy-Applikationen (nachfolgend «Applikationen»), auf welche öffentliche und private Nutzer via Login/Registrierung über die Webseiten zugreifen können.

Grundsätzlich finden die kantonalen, auf den jeweiligen Vertragspartner anwendbaren Datenschutzgesetze, subsidiär das schweizerische Bundesgesetz über den Datenschutz (DSG) und die Verordnung zum Bundesgesetz über den Datenschutz (VDSG), die datenschutzrechtlichen Bestimmungen des Sozialversicherungsrecht sowie teilweise, beispielsweise für die Leistungserbringung der Liechtensteinische AHV-IV-FAK, die Datenschutzgrundverordnung der EU (DSGVO) Anwendung.

Diese Datenschutzrichtlinie klärt über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung der Webseiten sowie der Applikationen auf. Zur Gewährleistung der Übersichtlichkeit verwendet diese Datenschutzrichtlinie lediglich die männliche Form, gemeint sind aber selbstverständlich beide Geschlechter.

1.     Verantwortlicher

Verantwortlich für die in dieser Datenschutzrichtlinie beschriebenen Datenverarbeitungen im Sinne der DSGVO sowie sonstigen datenschutzrechtlichen Bestimmungen ist in jedem Fall der für die zugreifende Person jeweilig zuständige Vertragspartner. Diesem Vertragspartner kommen in jedem Fall die Datenhoheit und Verantwortung für die Einhaltung des Datenschutzes zu. Die Zuständigkeit des jeweiligen Vertragspartners ergibt sich insbesondere aus den sozialversicherungsrechtlichen gesetzlichen Bestimmungen. Bei datenschutzrechtlichen Anliegen können sich die Nutzer direkt an den für sie zuständigen Vertragspartner wenden. Die Kontaktdaten der Vertragspartner können unter Support abgerufen werden.

2.     Art, Umfang und Zweck der Verarbeitung und Bekanntgabe von personenbezogenen Daten

Im Folgenden informieren die Vertragspartner, welche personenbezogenen Daten erhoben und gespeichert und für welche Zwecke die Daten verwendet bzw. an wen diese bekanntgegeben werden können.

a) Beim Besuch der Webseiten

Beim Besuch der Webseiten werden automatisch allgemeine technische Besuchsinformationen in sogenannten Log-Dateien erfasst (z.B. Browsertyp, Betriebssystem, Browser-Sprache, IP-Adresse, Datum und Zeit des Besuchs, etc.).

Die Erhebung und Verarbeitung dieser Log-Dateien erfolgt, um einen problemlosen Verbindungsaufbau zu den Webseiten sicherzustellen, eine reibungslose Nutzung der Webseiten zu ermöglichen, die Systemsicherheit und -stabilität zu gewährleisten und zu erhöhen, das Internetangebot der Vertragspartner zu optimieren sowie um interne Statistiken zu erheben.

Es findet keine Identifikation der Webseitenbesucher statt und die verwendeten IP-Adressen werden automatisch anonymisiert. Zudem werden diese automatisch erhobenen Log-Dateien grundsätzlich nicht mit den gespeicherten Personendaten verbunden. Von diesem Grundsatz kann abgewichen werden, wenn ein registriertes Nutzerkonto besteht. Die Verarbeitung erfolgt auf der Grundlage des berechtigten Interesses der Vertragspartner an der Verbesserung der Stabilität und Funktionalität der Webseiten

b) Bei der Registrierung und dem Login auf den Applikationen

Um die Applikationen nutzen zu können, ist eine Registrierung bzw. eine Einrichtung eines Nutzerkontos notwendig. Dazu ist die Eingabe bestimmter Personendaten notwendig, insbesondere entweder die E-Mail-Adresse, Anrede, Vor- und Nachname, Telefon Geschäft, Passwort und Mobiltelefon oder die SuisseID . Gewisse Applikationen erfordern zudem in einem zweiten Schritt die Eingabe eines per Briefpost zugestellten Aktivierungscodes.

Nutzer können Rechte als Nutzeradministratoren haben und somit weitere Nutzer als Zugriffsberechtigte autorisieren (nachfolgend «Zugriffsberechtigte»). Hierzu sind erneut bestimmte Personendaten anzugeben, insbesondere entweder die E-Mail-Adresse, Anrede, Vor- und Nachname, Telefon Geschäft, Passwort und Mobiltelefon oder die SuisseID.

Die Erhebung der Personendaten der Nutzer im Rahmen des Registrierungsprozesses erfolgt zum Zweck, eine Nutzer- und Zugriffskontrolle zu den entsprechenden Applikationen und den darin gespeicherten Daten durchzuführen. Innerhalb der Applikationen lassen sich die Personendaten des Nutzeradministrators sowie der Zugriffsberechtigten verwalten bzw. ändern.

Die Verarbeitung der im Registrierungsprozess angegebenen Personendaten erfolgt aufgrund der Einwilligung der Nutzer. Diese Einwilligung kann jederzeit beim zuständigen Vertragspartner widerrufen werden. In diesem Fall ist eine Nutzung der Applikationen nicht mehr möglich. Die Kontaktdaten der Vertragspartner sind unter Support abrufbar.

c) Bei der Nutzung der Applikationen

Innerhalb der Applikationen werden Personendaten, einschliesslich besonders schützenswerter Daten und Persönlichkeitsprofile verarbeitet und bekanntgegeben, insbesondere um Sozialversicherungsbeiträge berechnen und erheben, Versicherungsleistungen festlegen und ausrichten und Statistiken führen zu können.

Dazu gehören u.a. Personendaten wie AHV-Nummer, Vor- und Nachname, Ledigname, Geburtsdatum, Geschlecht, Zivilstand, Nationalität, Heimatort, Bevormundung, Eltern, Kinder, Gesundheitsdaten im Zusammenhang mit Leistungen der Invalidenversicherung (IV), Daten des Arbeitgebers (Abrechnungsnummer, Zweigstellennummer, Rechtsform, Anzahl Arbeitnehmer und Gesellschafter), Postanschrift, E-Mail-Adresse, Telefonnummer, Rechtsvertreter, Einkommen, Vermögen, Lohnsumme, Versicherungsbeiträge und -leistungen und Inkassoinformationen.

Rechtsgrundlage für die Verarbeitung und Bekanntgabe der Personendaten bilden die sozialversicherungsrechtlichen Bestimmungen des Bundes, insbesondere Art. 49a und Art. 50a des Bundesgesetzes über die Alters- und Hinterlassenenversicherung (AHVG) die im Allgemeinen als Verweisungsnormen im Sozialversicherungsrecht dienen sowie die in den einzelnen Sozialversicherungsgesetzen enthaltenen Zusatzbestimmungen zur Verarbeitung und Bekanntgabe von Personendaten (Bundesgesetz über die Invalidenversicherung, IVG; über die Ergänzungsleistungen zur Alters-, Hinterlassenen- und Invalidenversicherung, ELG; über den Erwerbsersatz für Dienstleistende und bei Mutterschaft, EOG; über die Familienzulagen, FamZG; etc.). Weiter sind Art. 32 und 33 des Bundesgesetzes über den Allgemeinen Teil des Sozialversicherungsrechts (ATSG) zur Amts- und Verwaltungshilfe sowie zur Schweigepflicht zu beachten. Je nach Ansässigkeit des Vertragspartners oder bei allfälligem Auslandsbezug zu den EU-/EWR-Staaten sind zudem die einschlägigen kantonalen Datenschutzgesetze bzw. die europäische DSGVO zu beachten.

3.     Weitergabe der Daten an Dritte

Die Vertragspartner geben personenbezogene Daten nur weiter, wenn eine ausdrückliche Einwilligung vorliegt, eine gesetzliche Verpflichtung besteht oder dies zur Durchsetzung der Rechte der Vertragspartner erforderlich ist und gleichzeitig nicht gegen die Schweigepflicht nach Art. 33 ATSG verstösst.

4.     Datenübermittlung ins Ausland

Grundsätzlich übermitteln die Vertragspartner keine Personendaten an Dienstleister im Ausland. Sofern Vertragspartner berechtigterweise Personendaten an Dienstleister im Ausland übermitteln wollen, muss dies zum Zweck der in dieser Datenschutzrichtlinie beschriebenen Datenbearbeitungen und im gesetzlich zulässigen Rahmen erfolgen. Die ausländischen Dienstleister sind im gleichen Umfang wie die Vertragspartner selbst zum Datenschutz verpflichtet. Wenn das Datenschutzniveau in einem Land nicht dem schweizerischen bzw. dem europäischen entspricht, stellen die Vertragspartner vertraglich sicher, dass der Schutz der Personendaten demjenigen in der Schweiz bzw. in der EU jederzeit entspricht

5.     Cookies

Die Vertragspartner bzw. die IGS GmbH setzen Cookies ein, um den Besuch der Webseiten einfacher, angenehmer und sinnvoller zu gestalten und für statistische Zwecke, um z.B. nachzuvollziehen, wie viele Personen auf die Webseiten zugreifen. Bei der Nutzung der Webseiten werden Cookies automatisch auf dem Computer der Besucher gespeichert. Bei Cookies handelt es sich um kleine Informationseinheiten, mithilfe deren der Browser eindeutig identifiziert werden kann und in denen Informationen wie Nutzereinstellungen aufbewahrt werden.

Internet-Browser sind meist so eingestellt, dass sie Cookies automatisch akzeptieren. Internet-Browser können aber auch so konfiguriert werden, dass keine Cookies gespeichert werden oder der Nutzer stets eine Benachrichtigung erhält, wenn er ein neues Cookie erhält.

Die Webseiten lassen sich auch ohne Cookies nutzen. In diesem Fall kann es aber sein, dass allenfalls nicht sämtliche Funktionen der Webseiten genutzt werden können.

6.     Tracking

Bei der Registrierung eines Nutzerkontos und Login für die Applikationen werden allfällige Fehler getrackt, um diese beheben zu können. Zusätzlich wird der Standort, das Datum des letzten Logins sowie die Nutzung der Applikationen protokolliert und gespeichert. Es werden hierfür keine Daten an externe Applikationen gesendet.

7.     Dauer der Aufbewahrung

Personendaten werden solange verarbeitet und aufbewahrt, als dass sie aufgrund einer gesetzlichen Vorschrift aufbewahrt werden müssen, oder als dass sie für den bestimmungsgemässen Zweck benötigt werden. Sobald dies nicht mehr zutrifft, werden die Personendaten grundsätzlich entweder archiviert, vernichtet oder anonymisiert. Für die betrieblichen Daten (Log-Dateien, Protokollen gemäss Ziffer 5, etc.) gelten grundsätzlich Aufbewahrungsfristen von sechs Monaten bzw. die gesetzlich zulässigen Fristen.

8.     Datensicherheit

Die Vertragspartner treffen angemessene technische und organisatorische Sicherheitsmassnahmen, um die gespeicherten Personendaten vor unbeabsichtigter, rechtswidriger oder unberechtigter Manipulation, Löschung, Veränderung, Weitergabe oder Benutzung, teilweisem oder vollständigem Verlust und gegen unbefugten Zugriff Dritter zu schützen. Die Sicherheitsmassnahmen der Vertragspartner bzw. der IGS GmbH werden fortlaufend an den neusten Stand der Technik angepasst.

Registrierte Nutzer erhalten nur Zugang zu den Applikationen nach Eingabe ihres persönlichen Passwortes, weshalb Zugangsdaten stets vertraulich behandelt werden sollten. Zudem können die Vertragspartner darauf bestehen, dass sich die Nutzer in anderer Form erneut authentifizieren.

9.     Rechte der betroffenen Person

Die Rechte der betroffenen Person richten sich nach den jeweils anwendbaren kantonalen Datenschutzgesetzen. Sollten die kantonalen Datenschutzgesetze keinen angemessenen Schutz gewährleisten, kommt subsidiär das DSG und VDSG zur Anwendung. Danach stehen grundsätzlich jeder Person ein Auskunftsrecht, ein Recht auf Berichtigung von unrichtigen Daten über die eigene Person sowie ein Recht auf Unterlassung, Beseitigung der Folgen einer widerrechtlichen Datenbearbeitung oder (subsidiär) die Feststellung der Widerrechtlichkeit einer Datenbearbeitung zu. Zudem muss jede Person die Möglichkeit haben, die Vernichtung von Daten oder die Sperrung der Bekanntgabe an Dritte zu verlangen.

Bei Auslandsbezug zu den EU-/EWR-Staaten richten sich die Rechte der betroffenen Person nach der DSGVO. Jeder Person stehen dann grundsätzlich das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Datenbearbeitung, jederzeitigen Widerruf der Einwilligung, Datenübertragbarkeit, sowie das Recht auf Beschwerde bei der zuständigen Datenschutzbehörde zu.

Die vorgängig erwähnten Rechte können jedoch im Einzelfall gesetzlich vorgesehenen Einschränkungen unterliegen. Für die Geltendmachung der Rechte müssen die Nutzer entsprechende Gesuche schriftlich oder via E-Mail an den jeweilig zuständigen Vertragspartner richten. Die Kontaktdaten der Vertragspartner sind unter Support abrufbar. Sofern die Identität der Nutzer nicht verifiziert werden kann, dürfen die Vertragspartner einen Identitätsnachweis verlangen.

10.  Integrierender Bestandteil der Nutzungsbedingungen AHVeasy

Diese Datenschutzrichtlinie bildet einen integrierenden Bestandteil der Nutzungsbedingungen AHVeasy. Mit der Nutzung der Webseiten und/oder der Applikationen erklären die Nutzer sich mit dieser Datenschutzrichtlinie sowie den jeweils aktuellen Nutzungsbedingungen AHVeasy als einverstanden. Die vorliegende Datenschutzrichtlinie sowie die jeweils aktuellen Nutzungsbedingungen AHVeasy gelten für alle Personen, die die Webseiten und/oder die Applikationen in irgendeiner Weise nutzen. Dies gilt unabhängig davon, ob der Zugriff auf die Webseiten und/oder die Applikationen in der Schweiz oder im Ausland erfolgt.

11.  Änderungen

Die Vertragspartner behalten sich das Recht vor, diese Datenschutzrichtlinie von Zeit zu Zeit ohne Vorankündigung zu aktualisieren. Es gilt jeweils die auf den Webseiten publizierte Version, wobei wesentliche Änderungen der Datenschutzrichtlinie den registrierten Nutzern per E-Mail oder durch entsprechenden Hinweis an geeigneter Stelle nach Anmeldung im Nutzerkonto mitgeteilt werden. Mit der weiteren Nutzung der Webseiten und/oder der Applikationen stimmen die Nutzer den Änderungen der Datenschutzrichtlinie zu.

 

Stand 5.4.2020