Die Förderung der Nachhaltigkeit und allgemein des Vertrauens in der Bauwirtschaft ist auf oberster strategischer Ebene Ziel der CRB-Tätigkeit. Ein datenschutzkonformes Verhalten erachten wir daher als eine wichtige Grundvoraussetzung im Umgang mit allen Bezugsgruppen und setzen dieses entsprechend um. Bei der Erfassung und Bearbeitung von Personendaten halten wir uns an die Bestimmungen des schweizerischen Datenschutzgesetzes (DSG) und schützen die betreffenden Daten durch geeignete Massnahmen. Insbesondere gelten dabei die nachstehenden Bestimmungen über den Datenschutz, welche auch über das Datum einer allfälligen Beendigung der Geschäftsbeziehung mit CRB hinaus in Kraft bleiben.
Um die Lesbarkeit zu vereinfachen, wird nachfolgend nur die männliche Form verwendet. Sämtliche Personenbezeichnungen beziehen sich aber immer auf alle Geschlechter.
2.1 Allgemeine Zwecke der Erhebung von Personendaten
Personenbezogene Daten werden nur insoweit erhoben, bearbeitet und gespeichert, als diese für das Erbringen der Dienstleistungen, für die Sicherheit von Betrieb und Infrastruktur, für die Rechnungsstellung sowie für die Abwicklung und Pflege der Kundenbeziehung, namentlich für die Gewährleistung einer hohen und kontinuierlich verbesserten Dienstleistungsqualität, benötigt werden. Dazu gehört auch die Bearbeitung zur Erfüllung rechtlicher Anforderungen. Zudem bearbeiten wir Personendaten unserer Kunden auch, um mit ihnen zu kommunizieren, Anfragen zu beantworten und ihnen Newsletter, Informationen sowie Einladungen zu Anlässen, Kursen, Konferenzen oder Vorträgen zuzustellen, und um dies alles bei Bedarf zu dokumentieren.
Die unter Punkt 2.1 erwähnten Kundendaten und Daten für die Mandatsverwaltung, Mandantendaten, Leistungs- und Abrechnungsdaten sowie ergänzende Informationen werden im Enterprise-Resource-Planning-System (CRB-ERP-System) erfasst. Namentlich setzt CRB dazu eine Cloud-Lösung ein, welche unter der Bezeichnung SAP Business by Design (ByD) vertrieben wird. Im Rahmen des CRB-ERP ist es möglich, die folgenden personenbezogenen Daten zu erfassen, was je nach spezifischem Fall mehr oder weniger umfangreich gemacht wird:
Kunden-Nummer, Kunden-Name (Vor- und Nachname), zusätzlicher Name bei Bedarf, Unternehmensidentifikationsnummer UID, Rechtsform, Gebietscode, Anzahl Mitarbeitende, Kundengruppe, Branche, Mitgliederstatus, Abonnement für CRB-Bulletin, Telefon- und Faxnummer, Websiteadresse, E-Mail-Adresse, Sprache, Strasse inkl. Nummer, Ort, PLZ, Land und allenfalls Angaben zu einer abweichenden Rechnungsadresse.
Zusätzlich werden bei Bedarf Ansprechpersonen pro Kunden-Nummer erfasst, woraus nebst vorgenannten Angaben ersichtlich werden kann: Geschlecht, Geburtsdatum, Familienstand, Status der Beziehung zu CRB (z.B. aktiv oder Zugehörigkeit in Adress- oder Zielgruppen und Kampagnen), akademischer Titel, Privatadresse (mit den gleichen Angaben wie vorstehend die Geschäftsadressen), VIP (z.B. Geschäftsführer, Vorstands-Vorsitzender, Vorstands-Mitglied) sowie allfällige Kontaktangaben zur Ansprechperson, zugehöriges Unternehmen, allfällige Querverbindungen, weitere Hintergrundinformationen aus öffentlichen Registern, etwaige zuweisende Personen und Inhalte von Anfragen etc.
Sämtliche vorstehend aufgeführten Daten können unter Beachtung der gesetzlichen Vorgaben entweder auf aktiv, veraltet oder gesperrt gesetzt oder gelöscht werden. Die Adressinformationen beinhalten auch die Angabe zur Person, welche die jeweils letzte Mutation vorgenommen hat. Zusätzlich zu diesen Personendaten werden auch die Daten von Personen erfasst, welche sich bei CRB für eine Anstellung bewerben. Diese Daten werden in herkömmlichen Office-Software-Programmen ausschliesslich in der Personalabteilung erfasst. Die entsprechenden Dokumente werden in einem gesonderten, verschlüsselten Bereich von CRBinside (vgl. Punkt 4.4) abgespeichert und allfälligen weiteren Personen, die im Evaluationsprozess involviert sind, ausschliesslich dort einsehbar gemacht. Das Herunterladen solcher Dateien ist ausdrücklich untersagt. Nach Abschluss des Auswahlverfahrens werden die Daten entweder in die Personaldossiers, die ebenfalls nur der Personalabteilung in separaten und gesicherten Ablagen zur Verfügung stehen, übernommen, oder sie werden vollständig gelöscht.
3.1 Datenaufbewahrung und Datensicherheit
Mit den gemäss Punkt 2 erhobenen Personendaten wird bei CRB mit gebührender Sorgfalt und im Rahmen der gesetzlichen Bestimmungen umgegangen. Sämtliche Kundeninformationen, die im CRB-ERP-System erfasst sind, werden im Rahmen umfassender Sicherheitsmassnahmen in der Schweiz und/oder den Staaten der EU (Europäische Union) gehostet.
Für verschiedene Bearbeitungstätigkeiten (insbesondere für den Newsletterversand, die Durchführung von Umfragen oder Webinare (siehe Punkt 4.8) sowie für die Anmeldung für CRB-Weiterbildungskurse) werden Tools eingesetzt, deren Server sich nicht nur in der Schweiz und der Europäischen Union (EU), sondern auch in den Vereinigten Staaten (USA) und im Vereinigten Königreich (UK) befinden können. Es werden eine Reihe von Massnahmen ergriffen, um sicherzustellen, dass die Daten nach schweizerischem Datenschutzrecht geschützt bleiben. Insbesondere werden die notwendigen Standardvertragsklauseln (SCC) miteinbezogen, um einen angemessenen Datenschutz zu bieten.
CRB weist darauf hin, dass überall, wo ein kundenspezifischer Benutzername und ein Passwort verlangt/vergeben wird, diese ausschliesslich den Benutzern bekannt sein dürfen und sie diese geheim halten müssen sowie auch keinen Dritten (auch nicht allenfalls ebenso registrierten Dritten) weitergeben dürfen.
CRB kann Personendaten im Zusammenhang mit der Erbringung der Leistungen ganz oder teilweise Dritten, insbesondere an Auftragsbearbeitende, IT-Provider und andere Anbieter, die IT-Applikationen zur Verfügung stellen oder Support und andere Dienstleistungen für die in dieser Datenschutzerklärung aufgeführten Zwecke im Auftrag von CRB erbringen, unter Einhaltung der Nutzungsbestimmungen für das jeweilige Leistungsangebot, übertragen. Mit seiner Anmeldung zum entsprechenden Dienst bzw. mit der Inanspruchnahme der Dienstleistung erklärt sich der Anwender mit den Nutzungsbestimmungen einverstanden und genehmigt die Weitergabe seiner Nutzerdaten an einen Drittpartner, soweit diese für die Erbringung der Leistungen und/oder das Inkasso allfälliger Guthaben erforderlich sind.
Soweit CRB für die Leistungserbringung Dritte beizieht, ist CRB berechtigt, die für die Leistungserbringung erforderlichen Daten den beigezogenen Dritten, unter Überbindung der Verpflichtung zur Wahrung des Datenschutzes im selben Umfang wie dieser für CRB gilt, zugänglich zu machen. Bearbeitet der Anwender im Rahmen der Nutzung der CRB-Standards Drittdaten, bleibt er gegenüber den betroffenen Personen ausschliesslich verantwortlich.
CRB vertreibt Produkte anderer Hersteller. In diesem Zusammenhang schliesst CRB im Namen der anderen Hersteller Verträge ab. Kunden, welche über CRB solche Verträge abschliessen, nehmen zur Kenntnis und sind damit einverstanden, dass ihre Kontaktangaben (z.B. Name, Adresse, Lizenz- und Kundennummern) dadurch sowohl CRB als auch den betreffenden Herstellern zur Kenntnis gebracht werden.
Bei einem Online-Zugriff auf die CRB-Standards, die CRB-Webservices, die CRB-Webapplikationen, die CRB-E-Books und/oder die CRB-Internetseiten sowie auf die von CRB eingesetzten Planungs-, Kollaborations- und Kommunikationstools erhält CRB Informationen und Einblicke in die konkrete Datennutzung der Anwender. Der Anwender nimmt zur Kenntnis und erklärt sich damit einverstanden, dass CRB die gewonnenen Informationen für Analysen betreffend Nutzung der CRB-Standards, der CRB-Webservices, der CRB-Webapplikationen, der CRB-Internetseiten, der CRB-E-Newsletter und der CRB-Social-Media-Kanäle verwenden und auswerten kann. Die Auswertung und die Verwendung erfolgen ausschliesslich für eigene Zwecke von CRB. Die Erhebung der Informationen über den Bezug bzw. die Nutzung von CRB-Daten durch den Anwender erfolgt in der Regel über das vom Anwender für den Zugriff auf die CRB-Datenbank bei sich installierte Software-Anwenderprogramm. Je nach Applikation kann der Anwender entscheiden, ob bzw. welche der von ihm über seine Datennutzung erhobenen Informationen an CRB übermittelt werden. CRB wird diese Informationen für statistische Zwecke und Marktanalysen verwenden, mit dem Ziel, das Angebot zu verbessern und genau auf die Anwender zugeschnittene Produkte anzubieten. Sofern eine Weitergabe solcher Daten an Dritte erfolgt, geschieht dies ausschliesslich in anonymisierter Form, welche keinen Rückschluss auf den Anwender zulässt. Die konkreten datenschutzrelevanten Eigenheiten der verschiedenen Online-Angebote von CRB werden nachstehend erläutert.
Die CRB-Internetseiten benutzen Google Analytics, einen Webanalysedienst der Google Inc. («Google»). Google Analytics verwendet sogenannte «Cookies». Das sind Textdateien, die auf dem Computer des Benutzers gespeichert werden und eine Analyse der Benutzung der Internetseiten durch den Benutzer ermöglichen. Die durch das Cookie erzeugten Informationen über die Benutzung von Internetseiten (einschliesslich IP-Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um die Nutzung der Internetseiten auszuwerten, um Reports über die Aktivitäten auf den Internetseiten für den Betreiber zusammenzustellen und um weitere mit der Internetseitennutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Zudem wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben ist oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird auf keinen Fall IP-Adressen des Benutzers mit anderen Daten von Google in Verbindung bringen. Der Benutzer kann die Installation der Cookies durch eine entsprechende Einstellung seiner Browser-Software verhindern; es wird jedoch darauf hingewiesen, dass in diesem Fall gegebenenfalls nicht sämtliche Funktionen der Websites vollumfänglich genutzt werden können. Durch die Nutzung der CRB-Internetseiten erklärt sich der Benutzer mit der Bearbeitung der über ihn erhobenen Daten durch Google, in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck, einverstanden.
In Ergänzung zu den vorstehenden Bestimmungen betreffend CRB-Internetseiten sind für die Bestellungsabwicklung und die kundenseitige Verwaltung der Lizenzen etc. benutzerspezifische Angaben erforderlich. Diese Angaben werden vom Benutzer in einem dafür bereitgestellten Erfassungsformular eingegeben. Durch die Bestätigung seiner Angaben werden diese an CRB übermittelt, im CRB-ERP-System (ByD) erfasst und entsprechend der dafür gültigen Usanz verarbeitet bzw. gespeichert, geschützt und gepflegt.
Die CRBinside-Plattform (crb.ch.sharepoint.com) ist eine internetbasierte elektronische Plattform, welche CRB Dritten kostenlos für die digitale Zusammenarbeit in Arbeits- und Projektgruppen inklusive der dafür nötigen Daten, Materialien (Pläne, Bilder, Grafiken etc.) und Informationen zur Verfügung stellt. Die Nutzung von CRBinside erfolgt ausschliesslich im Rahmen von separaten Nutzungsbestimmungen, welche für sämtliche Arten der Nutzung der Plattform und der damit in Zusammenhang stehenden Bereiche gelten. Als Nutzer gelten sämtliche Personen und Unternehmen, die sich auf der CRBinside-Plattform registriert haben. Mit dem Zugriff auf CRBinside bestätigen die Benutzer, dass sie diese Bestimmungen verstanden haben und als verbindlich anerkennen. Der Erwerb und die Nutzung von CRB-Standards fallen nicht unter diese Nutzungsbestimmungen. Hierfür sind die Allgemeinen CRB-Geschäftsbedingungen (CRB-AGB) massgebend.
CRB stellt für verschiedene Anwendungszwecke sogenannte Webapplikationen zur Verfügung. Zur Lizenzierung dieser Webapplikationen registrieren sich die Anwender entweder direkt im dafür in der entsprechenden Webapplikation vorgesehenen Erfassungsformular oder beantragen die Nutzungslizenz mittels einer Bestellung mit entsprechender Registrierung im CRB-Webshop. Während bei einer Registrierung, die direkt in der Webapplikation vorgenommen wurde, ausschliesslich eine E-Mail an den CRB-Kundendienst gesandt und von diesem im CRB-ERP erfasst wird, erfolgt bei einer Registrierung bzw. Bestellung im CRB-Webshop der anschliessende Umgang mit den Daten analog zum vorstehend unter CRB-Webshop aufgeführten Vorgehen. Die Veröffentlichung der Angaben muss im Einverständnis mit den Betroffenen und in Nachachtung der datenschutzrechtlichen Vorgaben erfolgen. CRB kann dafür keine Gewährleistung übernehmen und wird vom verantwortlichen Anwender, wenn Ansprüche gegen CRB geltend gemacht werden, vollumfänglich schad- und klaglos gehalten. CRB stellt registrierten Anwendern von einzelnen Webapplikationen die Möglichkeit zur Verfügung, sich und/oder ihre Projekte und/oder Projektdaten CRB und/oder anderen registrierten Anwendern von CRB-Webapplikationen anhand von auf den CRB-Webapplikationen vorgegebenen Masken vorstellen zu können. Verschiedene CRB-Webapplikationen stellen eine Kontakt- und Informationsplattform dar, welche es den registrierten Anwendern ermöglichen soll, Informationen über eigene Projekte zu verarbeiten und Informationen über Projekte anderer Anwender zu erhalten sowie mit den anderen Anwendern in Kontakt zu treten und sich auszutauschen. Die Nutzung der CRB-Webapplikationen setzt eine Registrierung voraus (vgl. vorstehend). Bei der Registrierung kann der Anwender Angaben zu sich bzw. zu seinem Unternehmen machen, wobei die gemachten Angaben den tatsächlichen Gegebenheiten entsprechen und wahr sein müssen. Insbesondere bei Webservices und Webapplikationen, die kostenlos genutzt werden können, werden die Angaben über die Projekte der Anwender wie Daten, Modelle, Beschriebe und Klassifizierungen anonymisiert weiterverwertet und können von CRB nach Bedarf in eigenem Namen publiziert werden und/oder für die Zusammenstellung von Werten und/oder statistischen Auswertungen, die CRB im eigenen Namen publizieren kann, beigezogen. CRB behält sich das Recht vor, unrichtige und unwahre Angaben des Anwenders zu entfernen. Die vom Anwender auf den CRB-Webapplikationen gemachten Angaben über sich, sein Unternehmen sowie über seine Projekte können von CRB zur Errichtung und Zurverfügungstellung von weiteren Funktionen und/oder Angeboten uneingeschränkt verwendet werden. Ebenso können die von Anwendern genannten Projektpartner von CRB eingeladen werden, sich ebenfalls auf den CRB-Webapplikationen zu registrieren. Der Anwender darf die von anderen Anwendern gemachten Angaben zu Projekten ausschliesslich zu Informations- und Kontrollzwecken nutzen. Jede weitergehende Verwendung der auf den CRB-Webapplikationen verfügbaren Informationen und Daten ist nur mit schriftlicher vorgängiger Einwilligung von CRB gestattet.
Mit CRB-Webservices unterstützt CRB zum einen die Abwicklung der Geschäftstätigkeit. Dazu zählen das Identity and Access Management (IAM), der zentrale Lizenzservice und der anschliessende Datenbezug. Bei der Anwendung dieser Webservices können die Kundendaten des Lizenznehmers durch die Angabe der Kundennummer und des Lizenzschlüssels mit den im CRB-ERP hinterlegten Kundendaten in Verbindung gebracht werden. Rückschlüsse solcher Art sind einerseits nötig und möglich, andererseits werden sie lediglich zu Kontrollzwecken sporadisch und stichprobenartig genutzt oder bei Vorliegen eines Verdachts auf missbräuchlichen Umgang mit den CRB-Standards. Zum anderen unterstützt CRB auch die konkrete Anwendung einiger CRB-Produkte durch Webservices. Dies gilt beispielsweise für die Qualitätssicherung der Leistungsverzeichnisse nach Normpositionen-Katalog (NPK) und den dafür vorgesehenen elektronischen Datenaustausch. Dies geschieht mittels eines sogenannten Prüfprogramms, welches sowohl lokal als auch zentral, d.h. online, zur Verfügung steht bzw. angewendet wird. Weiterführende Rückschlüsse, beispielsweise auf bearbeitete Dokumente, konkrete Angaben zu Projekten oder Projektbeteiligte, sind nicht möglich.
Die CRB-E-Books werden mittels einer Drittanbieter-Applikation betrieben. Mit der Anmeldung bzw. dem Bezug eines CRB-E-Books ist es erforderlich, dass der Drittanbieter Kenntnis erhält über die durch den kundenspezifischen Product Activation Key (PAK) erlangten Zugänge. So ist es dem Drittanbieter möglich, Informationen wie z.B. Nutzungsintervalle zu erhalten. Eine Verknüpfung zu den Adressangaben des Kunden ist hingegen nicht möglich und könnte nur in Verbindung mit den bei CRB hinterlegten Adressinformationen, welche von CRB nicht zugänglich gemacht werden, erfolgen.
Für die Vermittlung und Gewinnung von Informationen (E-Newsletter, Umfragen und Webinare etc.) setzt CRB Drittapplikationen ein. Es handelt sich dabei um unter-schiedliche Tools wie Mailchimp (Intuit Inc., USA), Microsoft 365 (insb. Forms), Q-SET oder Zoom. Für den konkreten Umgang und die Interaktion durch Anwender dieser Webapplikationen kommen die von den Anbietern dieser Webapplikationen bereitgestellten Datenschutzerklärungen ergänzend zur CRB-Datenschutzerklärung zur Anwendung. Diese sind von allen Benutzern im Rahmen des Login-Vorgangs jeweils separat zur Kenntnis zu nehmen. CRB hat Einblick in die von den Benutzern erfassten Personendaten und überführt diese in das CRB-ERP. Anschliessend wird mit den Daten wie vorstehend beschrieben verfahren. Die bis zur Sistierung der Nutzung der Webapplikationen verbleibenden Benutzerdaten werden entsprechend den vorstehend erwähnten Datenschutzerklärungen der betreffenden Webapplikation gespeichert und anschliessend gelöscht.
Vergleichbar mit dem vorstehend beschriebenen Umgang mit Personendaten verhält es sich auch mit den in den von CRB genutzten Social-Media-Kanälen wie Linkedin, Facebook, Twitter und YouTube allfällig zugänglich gemachten Personendaten (i.d.R. handelt es sich dabei lediglich um Verlinkungen, welche auf entsprechende Personendaten verweisen). Auch hier gelangen die jeweiligen Nutzungs- und Datenschutzbestimmungen der einzelnen Anbieter, zusätzlich zur vorliegenden CRB-Datenschutzerklärung, zur Anwendung. Eine Überführung von personenbezogenen Daten aus den verschiedenen Social-Media-Kanälen in das CRB-ERP-System findet nicht statt. Bei einer allfälligen Beendigung der Nutzung eines Social-Media-Kanals werden auch allfällig von CRB hinterlegte Daten CRB nicht mehr zur Verfügung stehen, und es gelangen die Daten-schutzbestimmungen der Anbieter der betreffenden Social-Media-Kanäle erneut und einzig zur Anwendung.
Die Bezugsgruppen, welche CRB personenbezogene Daten übermitteln, unabhängig der Form der Übermittlung, nehmen zur Kenntnis und erklären sich damit einverstanden, dass CRB die von ihnen zur Verfügung gestellten Daten entsprechend der in dieser Datenschutzerklärung aufgeführten Angaben erfassen und bearbeiten darf.
Personen, von denen wir Daten bearbeiten, haben gemäss Art. 25 des Bundesgesetzes über den Datenschutz (DSG) das Recht auf Auskunft. Soweit die Bearbeitung auf Einwilligung beruht, haben alle Betroffenen das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Personen, von denen wir Daten bearbeiten, können überdies die weiteren Rechte gemäss DSG geltend machen. Für die Ausübung solcher Rechte können sich die betroffenen Personen an die unten erwähnte Adresse wenden. CRB wird diese Gesuche im Einklang mit dem DSG bearbeiten und kann diese gemäss den gesetzlichen Regelungen auch ablehnen oder nur eingeschränkt erfüllen.
7.1 privacy@crb.ch
Bei CRB ist die für den Datenschutz zuständige Informationsstelle einfach unter privacy@crb.ch erreichbar. Selbstverständlich können Sie gerne auch per Post oder persönlich mit uns in Kontakt treten. Die entsprechenden Kontaktangaben dazu sind:
CRB, Datenschutzverantwortliche(r), Steinstrasse 21, Postfach, 8036 Zürich, Tel.: 044 456 45 45,
privacy@crb.ch
Weil die Arbeitsweise von uns und unseren Bezugsgruppen im stetigen Wandel ist und der Einsatz anderer bzw. weiterer Hilfsmittel insb. im Softwarebereich zu erwarten ist, wird bei Eintreten einer solchen Begebenheit auch die vorliegende Datenschutzerklärung entsprechend angepasst. Die aktuelle, jeweils gültige Version ist auf der Geschäftsstelle erhältlich und auf crb.ch publiziert. Eine entsprechende Übersicht über den Verlauf der Überarbeitungen ist unter crb.ch nachlesbar.
Die zurzeit gültige Version-Nr. 005 wurde im Mai 2024 publiziert.