Die Förderung der Nachhaltigkeit und allgemein des Vertrauens in der Bauwirtschaft ist auf oberster strategischer Ebene Ziel der CRB-Tätigkeit. Ein datenschutzkonformes Verhalten erachten wir daher als eine wichtige Grundvoraussetzung im Umgang mit allen Bezugsgruppen und setzen dieses entsprechend um. Bei der Erfassung und Bearbeitung von Personendaten halten wir uns an die Bestimmungen des schweizerischen Datenschutzgesetzes (DSG) und schützten die betreffenden Daten durch geeignete Massnahmen. Insbesondere gelten dabei die nachstehenden Bestimmungen über den Datenschutz, welche auch über das Datum einer allfälligen Beendigung der Geschäftsbeziehung mit CRB hinaus, in Kraft bleiben.
2.1 Allgemeine Zwecke der Erhebung von Personendaten
Personenbezogene Daten werden nur insoweit erhoben, bearbeitet und gespeichert, als diese für das Erbringen der Dienstleistungen, für die Sicherheit von Betrieb und Infrastruktur, für die Rechnungsstellung sowie für die Abwicklung und Pflege der Kundenbeziehung, namentlich für die Gewährleistung einer hohen und kontinuierlich verbesserten Dienstleistungsqualität benötigt werden. Dazu gehört auch die Bearbeitung zur Erfüllung rechtlicher Anforderungen. Zudem bearbeiten wir Personendaten unserer Kunden auch, um mit ihnen zu kommunizieren, Anfragen zu beantworten und ihnen Newsletter, Informationen, Einladungen zu Anlässen, Kursen, Konferenzen oder Vorträgen zuzustellen und um dies alles bei Bedarf zu dokumentieren.
2.2 Welche Daten werden erhoben
Die unter 2.1 vorstehend erwähnten Kundendaten und Daten für die Mandatsverwaltung, Mandantendaten, Leistungs- und Abrechnungsdaten sowie ergänzenden Informationen werden im CRB-ERP-System (Enterprise-Resource-Planning-System) erfasst. Namentlich setzt CRB dazu eine Cloud-Lösung ein, welche unter der Bezeichnung SAP Business by Design (ByD) vertrieben wird. Im Rahmen des CRB-ERP ist es möglich die folgenden personenbezogenen Daten zu erfassen, welche fallweise mehr oder weniger umfangreich auch so erfasst werden: Kunden-Nummer, Kunden-Name (Vor- und Nachname), zusätzlicher Name bei Bedarf, Unternehmensidentifikationsnummer UID, Rechtsform, Gebietscode, Anzahl Mitarbeitende, Kundengruppe, Branche, Mitgliederstatus, Abonnement für CRB-Bulletin, Telefon- und Faxnummer, Website, E-Mail-Adresse, Sprache, Strasse inkl. Nr., Ort, PLZ, Land und allenfalls Angaben zu einer abweichenden Rechnungsadresse.
Zusätzlich werden bei Bedarf Ansprechpersonen pro Kunden-Nr. geführt woraus nebst vorgenannten Angaben ersichtlich werden kann: Geschlecht, Geburtsdatum, Familienstand, Status der Beziehung zu CRB (z.B. aktiv oder Zugehörigkeit in Adress- Zielgruppen und Kampagnen), akademischer Titel, Privatadresse (mit den gleichen Angaben wie vorstehend die Geschäftsadressen), VIP (z.B. Geschäftsführer, Vorstands-Vorsitzender, Vorstands-Mitglied). Sowie allfällige Kontaktangaben zur Ansprechperson, zugehöriges Unternehmen, allfällige Querverbindungen, und weitere Hintergrundinformationen aus öffentlichen Registern, etwaige zuweisende Personen und Inhalte von Anfragen etc.
Sämtliche vorstehend aufgeführten Daten können unter Beachtung der gesetzlichen Vorgaben entweder auf aktiv, veraltet, oder gesperrt gesetzt oder gelöscht werden. Die Adressinformationen beinhalten auch die Angabe zur Person, welche die jeweils letzte Mutation vorgenommen hat. Erfasst werden auch Daten von Personen, welche sich bei CRB um eine Anstellung bewerben. Diese Daten werden in herkömmlichen Office-Software-Programmen ausschliesslich in der Personalabteilung erfasst. Die entsprechenden Dokumente werden in einem gesonderten, verschlüsselten Bereich von CRBinside (vgl. nachstehend Pkt.4.4) abgespeichert und allfälligen weiteren Personen, die im Evaluationsprozess involviert sind, ausschliesslich dort einsehbar gemacht. Das Herunterladen für andere Zwecke als für das Personaldossier solcher Dateien ist ausdrücklich untersagt. Nach Abschluss des Auswahlverfahrens werden die Daten entweder in die Personaldossiers, welche die ebenfalls nur der Personalabteilung in entsprechend separaten und gesicherten Ablagen zur Verfügung stehen übernommen oder sie werden vollständig gelöscht.
3.1 Datenaufbewahrung und Datensicherheit
Mit den gem. Punkt 2 vorstehend erhobenen Personendaten wird bei CRB mit gebührender Sorgfalt und im Rahmen der gesetzlichen Bestimmungen umgegangen. Sämtliche Kundeninformationen, die im CRB-ERP-System erfasst sind, werden im Rahmen umfassender Sicherheitsmassnahmen in der Schweiz und/oder den Staaten der EU (Europäische Union) gehostet.
CRB weist darauf hin, dass überall wo ein kundenspezifischer Benutzername und ein Passwort verlangt/vergeben wird, diese ausschliesslich den Benutzern bekannt sein dürfen und sie diese geheim halten müssen sowie auch keinen Dritten (auch nicht allenfalls ebenso registrierten Dritten) weitergeben dürfen.
3.2 Datenweitergabe
Unter Übernahme der Nutzungsbedingungen für das jeweilige Leistungsangebot kann CRB Personendaten mit der Erbringung der Leistungen ganz oder teilweise an Dritte insbesondere an Auftragsbearbeitende, IT-Provider und andere Anbieter, die IT-Applikationen zur Verfügung stellen oder Support und andere Dienstleistungen für die in dieser Datenschutzerklärung aufgeführten Zwecke im Auftrag von CRB erbringen, unter Übernahme der Nutzungsbedingungen für das jeweilige Leistungsangebot, übertragen. Mit seiner Anmeldung zum entsprechenden Dienst bzw. mit der Inanspruchnahme der Dienstleistung genehmigt der Anwender die Nutzungsbedingungen und die Weitergabe seiner Daten an einen Drittpartner, soweit diese für die Erbringung der Leistungen und/oder das Inkasso allfälliger Guthaben erforderlich sind.
Soweit CRB für die Leistungserbringung Dritte beizieht, ist CRB berechtigt, die für die Leistungserbringung erforderlichen Daten den beigezogenen Dritten, unter Überbindung der Verpflichtung zur Wahrung des Datenschutzes im selben Umfang wie dieser für CRB gilt, zugänglich zu machen. Bearbeitet der Anwender im Rahmen der Nutzung der CRB Standards Drittdaten, bleibt er gegenüber den betroffenen Personen ausschliesslich verantwortlich.
3.3 Produkte anderer Hersteller
CRB vertreibt und nutzt Produkte anderer Hersteller. In diesem Zusammenhang schliesst CRB auch im Namen der anderen Hersteller Verträge ab. Kunden, welche über CRB solche Verträge abschliessen nehmen zur Kenntnis und sind damit einverstanden, dass ihre Daten (z.B. Name, Adresse, Lizenz- und Kundennummern etc.) dadurch sowohl CRB als auch den betreffenden Herstellern zur Kenntnis gebracht werden. Ebenso haben die Kunden für vorgängig der Nutzung dieser Produkte, in der Regel die entsprechenden Nutzungsbedingungen anderer Hersteller separat zur Kenntnis zu nehmen und zu akzeptieren.
4.1 Allgemeine Bestimmungen zur Online-Nutzung
Bei einem Online-Zugriff auf die CRB-Standards, die CRB-Webservices, die CRB-Webapplikationen, CRB-E-Books und/oder die CRB Internetseiten sowie von CRB eingesetzte Planungs- Kollaborations- und Kommunikationstools erhält CRB Informationen und Einblicke in die konkrete Datennutzung durch die Anwender. Der Anwender nimmt zur Kenntnis und erklärt sich damit einverstanden, dass CRB die gewonnen Informationen für Analysen betreffend Nutzung der CRB-Standards, der CRB-Webservices, der CRB-Webapplikationen, der CRB-Internetseiten, CRB-E-Newsletter und CRB-Social-Media Kanäle verwenden und auswerten kann. Auswertung und Verwendung erfolgen ausschliesslich für eigene Zwecke von CRB. Die Erhebung der Informationen über den Bezug bzw. die Nutzung von CRB-Daten durch den Anwender erfolgt in der Regel über das vom Anwender für den Zugriff auf die CRB-Datenbank bei sich installierte Software-Anwenderprogramm. Je nach Applikation kann der Anwender entscheiden, ob bzw. welche der von ihm über seine Datennutzung erhobenen Informationen an CRB übermittelt werden. CRB wird diese Informationen für statistische Zwecke und Marktanalysen verwenden, mit dem Ziel das Angebot zu verbessern und genau auf die Anwender zugeschnittene Produkte anzubieten. Sofern eine Weitergabe solcher Daten an Dritte erfolgt, geschieht dies ausschliesslich in anonymisierter Form, welche keinen Rückschluss auf den Anwender zulässt. Die konkreten, datenschutzrelevanten Eigenheiten der verschiedenen Online-Angebote von CRB werden nachstehend erläutert.
4.2 CRB-Internetseiten
Die CRB-Internetseiten benutzen Google Analytics, einen Webanalysedienst der Google Inc. («Google»). Google Analytics verwendet sogenannte «Cookies», Textdateien, die auf dem Computer des Benutzers gespeichert werden und die eine Analyse der Benutzung der Internetseiten durch den Benutzer ermöglicht. Die durch das Cookie erzeugten Informationen über die Benutzung von Internetseiten (einschliesslich IP-Adresse) werden an einen Server von Google in den USA übertragen und dort gespeichert. Google wird diese Informationen benutzen, um die Nutzung der Internetseiten auszuwerten, um Reports über die Aktivitäten auf den Internetseiten für den Betreiber zusammenzustellen und um weitere mit der Internetseitennutzung und der Internetnutzung verbundene Dienstleistungen zu erbringen. Auch wird Google diese Informationen gegebenenfalls an Dritte übertragen, sofern dies gesetzlich vorgeschrieben oder soweit Dritte diese Daten im Auftrag von Google verarbeiten. Google wird in keinem Fall IP-Adressen des Benutzers mit anderen Daten von Google in Verbindung bringen. Der Benutzer kann die Installation der Cookies durch eine entsprechende Einstellung seiner Browser Software verhindern; es wird jedoch darauf hingewiesen, dass in diesem Fall gegebenenfalls nicht sämtliche Funktionen der Websites vollumfänglich genutzt werden können. Durch die Nutzung der CRB Internetseiten erklärt sich der Benutzer mit der Bearbeitung der über ihn erhobenen Daten durch Google, in der zuvor beschriebenen Art und Weise und zu dem zuvor benannten Zweck, einverstanden.
4.3 Webshop
In Ergänzung zu den vorstehenden Bestimmungen betreffend die CRB-Internetseiten sind für die Bestellungsabwicklung, die kundenseitige Verwaltung seiner Lizenzen etc. benutzerspezifische Angaben erforderlich. Diese Angaben werden von den Benutzern in einem dafür bereitgestellten Erfassungsformular eingegeben. Durch die Bestätigung seiner Angaben werden diese an CRB übermittelt und im CRB ERP-System (vgl. vorstehend SAP-ByD) erfasst und entsprechend der dafür gültigen Usanz verarbeitet bzw. gespeichert, geschützt und gepflegt.
4.4 CRBinside
Die CRBinside Plattform (crb.ch.sharepoint.com) ist eine internetbasierte elektronische Plattform, welche CRB Dritten kostenlos für die digitale Zusammenarbeit in Arbeits- und Projektgruppen inklusive der dafür nötigen Daten, Materialien (Pläne, Bilder, Grafiken, etc.) und Informationen von CRB zur Verfügung stellt. Die Nutzung von CRBinside erfolgt ausschliesslich im Rahmen von separaten Nutzungsbestimmungen, welche für sämtliche Arten der Nutzung der Plattform und der damit in Zusammenhang stehenden Bereichen gelten. Als Nutzer gelten sämtliche Personen und Unternehmen, die sich auf der CRBinside Plattform registriert haben. Mit dem Zugriff auf CRBinside bestätigen die Nutzer, dass sie diese Bestimmungen verstanden haben und anerkennen diese als verbindlich. Der Erwerb und die Nutzung von CRB-Standards fallen nicht unter diese Nutzungsbestimmungen. Hierfür sind die Allgemeinen CRB-Geschäftsbedingungen (CRB-AGB) massgebend.
4.5 CRB-Webapplikationen
CRB stellt für verschiedene Anwendungszwecke sogenannte Webapplikationen zur Verfügung. Zur Lizenzierung dieser Webapplikationen registrieren sich die Anwender entweder direkt im dafür in der entsprechenden Webapplikation vorgesehenen Erfassungsformular oder beantragen die Nutzungslizenz mittels einer Bestellung mit entsprechender Registrierung im CRB-Webshop. Während bei einer Registrierung, die direkt in der Webapplikation vorgenommen wurde, ausschliesslich ein E-Mail an den CRB-Kundendienst gesandt wird und dort im CRB-ERP erfasst wird, erfolgt bei einer Registrierung bzw. Bestellung im CRB-Webshop der anschliessende Umgang mit den Daten analog zum vorstehend unter CRB-Webshop aufgeführten Vorgehen sowie die Veröffentlichung der Aufgaben im Einverständnis mit den Betroffenen und in Nachachtung der datenschutzrechtlichen Vorgaben erfolgen muss. CRB kann dafür keine Gewährleistung übernehmen und wird vom verantwortlichen Anwender, wenn Ansprüche gegen CRB geltend gemacht werden, vollumfänglich schad- und klaglos gehalten. CRB stellt registrierten Anwendern von einzelnen Webapplikationen die Möglichkeit zur Verfügung, sich und/oder ihre Projekte und/oder Projektdaten CRB und/oder anderen registrierten Anwendern von CRB-Webapplikationen anhand von auf den CRB-Webapplikationen vorgegebenen Masken vorstellen zu können. Verschiedene CRB-Webapplikationen stellen eine Kontakt- und Informationsplattform dar, welche es den registrierten Anwendern ermöglichen soll, Informationen über eigene Projekte zu verarbeiten und Informationen über Projekte anderer Anwender zu erhalten sowie mit den anderen Anwendern in Kontakt zu treten und sich auszutauschen. Die Nutzung der CRB-Webapplikationen setzt eine Registrierung voraus (vgl. vorstehend). Bei der Registrierung kann der Anwender Angaben zu sich bzw. zu seinem Unternehmen machen, wobei die gemachten Angaben den tatsächlichen Gegebenheiten entsprechen und wahr sein müssen. Insbesondere bei Webservices und Webapplikationen die kostenlos genutzt werden können, werden die Angaben über die Projekte der Anwendenden wie, Daten, Modelle, Beschriebe, Klassifizierungen usw., anonymisiert weiterverwertet und können von CRB nach Bedarf in eigenem Namen publiziert werden und/oder für die Zusammenstellung von Werten und/oder statistischen Auswertungen, die CRB im eigenen Namen publizieren kann, beigezogen. CRB behält sich das Recht vor, unrichtige und unwahre Angaben des Anwenders zu entfernen. Die vom Anwender auf den CRB-Webapplikationen gemachten Angaben über sich, sein Unternehmen sowie über seine Projekte können von CRB zur Errichtung und Zurverfügungstellung von weiteren Funktionen und/oder Angeboten uneingeschränkt verwendet werden. Ebenso können die von Anwendern genannten Projektpartner von CRB eingeladen werden, sich ebenfalls auf den CRB-Webapplikationen zu registrieren. Der Anwender darf, die von anderen Anwendern gemachten Angaben zu Projekten ausschliesslich zu Informations- und Kontrollzwecke nutzen. Jede weitergehende Verwendung der auf den CRB-Webapplikationen verfügbaren Informationen und Daten ist nur mit schriftlicher vorgängiger Einwilligung von CRB gestattet.
4.6 CRB-Webservices
Mit CRB-Webservices unterstützt CRB zum einen die Abwicklung der Geschäftstätigkeit. Dies mit dem Identity and Access Management (IAM) sowie dem zentralen Lizenzservice und dem anschliessenden Datenbezug. Bei der Anwendung dieser Webservices können die Kundendaten des Lizenznehmers über die Angaben der Kundennummer und des Lizenzschlüssels mit den im CRB-ERP hinterlegten Kundendaten in Verbindung gebracht werden. Rückschlüsse solcher Art sind einerseits nötig und möglich andererseits werden sie lediglich zu Kontrollzwecken sporadisch und stichprobenartig genutzt oder bei Vorliegen eines Verdachts auf missbräuchlichen Umgang mit den CRB-Standards. Zum anderen unterstützt CRB auch die konkrete Anwendung einiger CRB-Produkte durch Webservices. Dies beispielsweise für die Qualitätssicherung der Leistungsverzeichnisse nach Normpositionen-Katalog NPK und des dafür vorgesehenen elektronischen Datenaustausches. Dies geschieht mittels eines sogenannten Prüfprogramms, welches sowohl lokal als auch zentral d.h. online zur Verfügung steht bzw. angewendet wird. Bei einem online-Zugriff auf die CRB-Webservices können die Kundendaten des Lizenznehmers über die Angaben der Kundennummer und des Lizenzschlüssels mit den im CRB-ERP hinterlegten Kundendaten in Verbindung gebracht werden. Rückschlüsse solcher Art sind einerseits nötig und möglich andererseits werden sie lediglich zu Kontrollzwecken sporadisch und stichprobenartig genutzt oder bei Vorliegen eines Verdachts auf missbräuchlichen Umgang mit den CRB-Standards. Weiterführende Rückschlüsse beispielsweise zu bearbeiteten Dokumenten wie konkrete Angaben zu Projekten, Projektenbeteiligten sind nicht einsehbar.
4.7 CRB-E-Books
Die CRB-E-Books werden mittels einer Drittanbieter-Applikation betrieben. Mit der Anmeldung bzw. dem Bezug eines CRB-E-Books ist es erforderlich, dass der Drittanbieter Kenntnis über die unter den kundenspezifischen Product Activation Keys (PAK) Zugänge erhält. So ist es dem Drittanbieter möglich Informationen wie Nutzungsintervalle etc. betr. den über den PAK erlangten Zugänge zu bekommen. Eine Verknüpfung zu den Adressangaben des Kunden ist hingegen nicht möglich und kann nur in Verbindung mit den bei CRB hinterlegten Adressinformationen, welche von CRB nicht zugänglich gemacht werden, erfolgen.
4.8 CRB-E-Newsletter
Für die Vermittlung von Informationen (E-Newsletter) und auch für die Gewinnung von Informationen (E-Newsletter-Umfragetool) setzt CRB Drittapplikationen ein. Es handelt sich dabei um unterschiedliche Webapplikationen wie Mailchimp, Survey-Monkey, Zoom etc. Für den konkreten Umgang und die Interaktion durch Anwender dieser Webapplikationen kommen die von den Anbietern dieser Webapplikationen bereitgestellten Nutzungsbestimmungen und Datenschutzerklärungen ergänzend zu der Vorliegenden zur Anwendung. Diese sind von allen Benutzern im Rahmen des Login-Prozederes jeweils separat zur Kenntnis zu nehmen und zu genehmigen. CRB hat Einblick auf die von den Benutzern erfassten Personendaten und überführt diese in das CRB-ERP. Anschliessend wird mit den Daten entsprechend dem vorstehend beschriebenen Umgang verfahren. Die bis zur Sistierung der Nutzung der Webapplikationen verbleibenden Benutzerdaten werden entsprechend den vorstehend erwähnten Datenschutzerklärungen der betreffenden Webapplikation gespeichert und anschliessend gelöscht.
4.9 CRB-Social-Media-Kanäle
Vergleichbar mit dem vorstehend beschriebenen Umgang mit Personendaten verhält es sich auch mit den allfällig zugänglich gemachten Personendaten (i.d.R. sind es ja lediglich Verlinkungen, welche auf entsprechende Personendaten verweisen) in den von CRB genutzten Social-Media-Kanälen wie Linkedin. Facebook, Twitter und YouTube. Auch hier gelangen die jeweiligen Nutzungs- und Datenschutzbestimmungen der einzelnen Anbieter, zusätzlich zu der vorliegenden CRB-Datenschutzerklärung zur Anwendung. Eine Überführung von Personen bezogenen Daten aus den verschiedenen Social-Media-Kanälen in das CRB-ERP-System findet nicht statt. Bei einer allfälligen Beendigung der Nutzung eines Social-Media-Kanals werden auch allfällig von CRB hinterlegte Daten, CRB nicht mehr zur Verfügung stehen und es gelangen die Datenschutzbestimmungen der Anbieter der betreffenden Social-Media-Kanäle erneut und einzig zur Anwendung.
Die Bezugsgruppen, welche CRB personenbezogene Daten übermitteln, unabhängig der Form der Übermittlung, nehmen zur Kenntnis und erklären sich damit einverstanden, dass CRB die von ihnen zur Verfügung gestellten Daten, entsprechend der in dieser Datenschutzerklärung aufgeführten Angaben, erfassen und bearbeiten darf.
Personen, über die wir Daten bearbeiten, haben gemäss Art. 25 des Bundesgesetzes über den Datenschutz vom 25.09.2020 das Recht auf Auskunft. Soweit die Bearbeitung auf Einwilligung beruht, haben alle Betroffenen das Recht, diese Einwilligung jederzeit mit Wirkung für die Zukunft zu widerrufen. Personen über die wir Daten bearbeiten, können überdies die weiteren Rechte gemäss dem anwendbaren schweizerischen DSG geltend machen. Für die Ausübung solcher Rechte können sich die betroffenen Personen an die unten erwähnte Adresse wenden. CRB wird diese Gesuche im Einklang mit dem anwendbaren schweizerischen DSG bearbeiten und kann diese gemäss den gesetzlichen Regelungen auch ablehnen oder nur eingeschränkt erfüllen.
7.1 privacy@crb.ch
Bei CRB ist die für den Datenschutz zuständige Informationsstelle einfach unter privacy@crb.ch erreichbar. Selbstverständlich können Sie sich gerne auch per Post oder persönlich mit uns in Kontakt treten. Die entsprechenden Koordinaten dazu sind:
CRB, Datenschutzverantwortliche(r), Steinstrasse 21, Postfach, 8036 Zürich, Tel.: 044 456 45 45,
privacy@crb.ch
7.2 Anpassungen dieser Datenschutzerklärung
Weil die Arbeitsweise von uns und unseren Bezugsgruppen im stetigen Wandel ist und der Einsatz anderer bzw. weiterer Hilfsmittel insb. im Softwarebereich zu erwarten ist, wird bei Eintreten einer solchen Begebenheit auch die vorliegende Datenschutzerklärung daran angepasst. Die aktuelle, jeweils gültige Version ist jeweils auf der Geschäftsstelle erhältlich und auf crb.ch publiziert. Eine entsprechende Übersicht auf den Verlauf der Überarbeitungen ist unter www.crb.ch nachlesbar.
7.3 Überarbeitungsübersicht
Die zurzeit gültige Version-Nr. 003 wurde am 29. September 2023 publiziert.