Datenschutz

1. Zweck und Umfang

Das vorliegende Datenschutzkonzept von der Aubag System AG trägt der Bedeutung und dem Stellenwert des Da-
tenschutzes im Sinne der Achtung der Privatsphäre und der Persönlichkeitsrechte unserer Kunden, unseren Mitar-
beitenden und unseren Geschäftspartner Rechnung. Es bildet die verbindliche Grundlage für alle datenschutzrele-
vanten Massnahmen und Aktivitäten in der Aubag System AG, namentlich für das Bearbeiten von

• Personendaten der Kunden und Lieferanten

• Personendaten der Mitarbeitenden, inklusive Daten über Stellenbewerber und ehemalige Mitarbeitende

• Informationen über Geschäftspartner und weitere Dritte, soweit Personendaten betroffen sind

Aus Gründen der Einfachheit wird im Folgenden nur die männliche Form verwendet. Dies ist jedoch als geschlechts-
neutral zu verstehen und gilt gleichermassen für Frauen und Männer.

2. Gesetzliche Grundlagen

Grundlage für dieses Datenschutzkonzept ist das Bundesgesetz über den Datenschutz vom 25. September 2020
(DSG; SR 235.1) und die Verordnung über den Datenschutz vom 31. August.2022 (DSV; SR 235.11) sowie gegebe-
nenfalls das Datenschutzrecht des Kantons Zürich

3. Begriffe

Wichtige Begriffe sind in Anhang 1 definiert.

4. Geltungsbereich

Das vorliegende Datenschutzkonzept gilt für alle Mitarbeitenden von der Aubag System AG, die im Rahmen der Er-
füllung ihrer Funktionen und Aufgaben Personendaten bearbeiten.
Es gilt ebenfalls für externe Personen und Firmen, sofern sie sich durch entsprechende schriftliche Vereinbarung zu
dessen Einhaltung verpflichten.

5. Zielsetzung

Das Hauptziel dieser Weisung ist die Gewährleistung des Schutzes der Persönlichkeit natürlicher Personen vor wi-
derrechtlicher oder unverhältnismässiger Bearbeitung der Daten von Personen gemäss Ziffer 1. Diese Weisung soll
als verbindliche Richtlinie alle für die Aubag System AG tätigen Personen darin unterstützen, in Eigenverantwortung
datenschutzrechtlich einwandfrei zu handeln.
Mit der Umsetzung dieser Zielsetzung vermeidet die Aubag System AG auch materielle Nachteile und Imageschä-
den, welche ihr aufgrund von datenschutzwidrigen Handlungen erwachsen könnten.

6. Grundsätze des Datenschutzes

6.1 Rechtmässigkeit

Rechtmässig ist die Datenbearbeitung, wenn sie durch die Einwilligung der betroffenen Person, eine gesetzliche Er-
mächtigung oder ein überwiegendes öffentliches oder privates Interesse gerechtfertigt ist.

6.1 Verhältnismässigkeit

Die Datenerhebung muss erforderlich sein, zudem soll ein überwiegendes Interesse an der Erhebung bestehen. Da-
tenerhebungen auf Vorrat sind widerrechtlich, nicht mehr benötigte Daten sind zu archivieren.

6.2 Zweckbindung

Die Daten dürfen nur zum Zweck bearbeitet werden, der bei der Erhebung der Daten genannt wurde. Ihre Daten dür-
fen zu keinem für die betroffene Person nicht erkennbaren Zweck bearbeitet werden.

6.3 Transparenz

Die Datenerhebung und -bearbeitung muss klar erkennbar sein. Die notwendigen Informationen sollen direkt bei der
betroffenen Person beschafft werden.

6.4 Datenqualität

Es muss sichergestellt sein, dass die bearbeiteten Daten richtig, vollständig und aktuell sind. Unrichtige und unvoll-
ständige Daten sind zu korrigieren oder zu vernichten.

6.5 Treu und Glauben

Widersprüchliches und rechtmissbräuchliches Verhalten ist unzulässig.

7. Datensicherheit Massnahmen

Mit organisatorischen und technischen Massnahmen sollen der Datenschutz gewährleistet und Personendaten ins-
besondere vor dem Zugang Unbefugter, Missbrauch, Vernichtung, Verlust, technischen Fehlern, Fälschung, Dieb-
stahl etc. geschützt werden.

7.1 Organisatorische Massnahmen

Zugang zu Personendaten besteht bei der Aubag System AG nach dem Grundsatz «So viel wie nötig, so wenig wie möglich».Die Geschäftsleitung regelt deshalb in Zusammenarbeit mit den jeweils zuständigen Führungspersonen für jede Da-
tensammlung, wer unter welchen Bedingungen Zugang zu Personendaten hat und wie dies überwacht wird.
Er regelt zudem, wem Zugang zu archivierten Daten gewährt wird.

7.2 Technische Massnahmen

Der Schutz elektronisch bearbeiteter Daten wird insbesondere durch die Verwendung und regelmässige umfassende
Verschlüsselung, den Einsatz von Firewalls, Virenschutzprogrammen etc. und die Protokollierung von Zugriffen gewährleistet.
Durch Zugangs- und Personendatenträgerkontrollen wird verhindert, dass unbefugte Personen Zugang zu Datenbe-
ständen haben oder diese verändern, zerstören, entwenden etc.

7.3 Archivierung

Personendaten, die für die Bearbeitung nicht mehr benötigt werden, werden gemäss den Datenschutzrichtlinien auf-
bereitet und während der definierten Dauer archiviert.
Grundsatz: Alles was wir nicht mehr für das Tagesgeschäft brauchen, archivieren wir. Wir vernichten/löschen nach
folgenden Fristen:

  • Personaldossier 10 Jahre ab Austritt

  • Bewerbungen 4 Monate nach Ablehnung

  • Verträge 10 Jahre Ablauf

  • Buchführung 15 Jahre nach Geschäftsjahr

  • Korrespondenzen analog Verträge

  • Versicherungsfälle 20 Jahre

7.4 Vernichtung

Daten von untergeordneter Bedeutung werden unmittelbar nach Erreichen des Bearbeitungszwecks vernichtet (phy-
sisch zerstört oder elektronisch gelöscht).

8. Rechte der betroffenen Personen

Dem Ziel, im Alltag regelmässig eintretende Situationen datenschutzrechtlich korrekt zu handhaben, dienen die fol-
genden Handlungsanleitungen.

8.1 Aufklärung/Orientierung

Kunden sowie Mitarbeitende werden beim Eintritt über ihre datenschutzrechtlichen Rechten und Pflichten informiert.

8.2 Auskunfts-/Einsichtsrecht

Die Erteilung von Auskünften und die Einsichtsrechte dürfen ausnahmsweise beschränkt oder verweigert werden,
wenn wichtige und überwiegende öffentliche Interessen oder besonders schützenswerte Interessen
von Dritten entgegenstehen.
Besteht das Risiko, dass die betroffene Person (v.a. Minderjährige) mit der Auskunftserteilung oder Einsichtnahme
einer zu hohen Belastung ausgesetzt werden könnte, kann sie eine andere Person bestimmen, der an ihrer Stelle
Auskunft erteilt bzw. Einsicht gewährt wird.

8.3 Recht auf Berichtigung

Widerrechtlich oder unrichtig bearbeitete sowie unrichtige Daten müssen berichtigt oder vernichtet werden.

8.4 Sperrung/Verweigerung der Datenbekanntgabe

Jede betroffene Person kann die Bekanntgabe ihrer Daten sperren lassen, wenn sie ein schutzwürdiges Interesse
nachweist. Dies gilt dann nicht, wenn die Datenbekanntgabe eine gesetzliche Verpflichtung darstellt, aufgrund über-
wiegender Interessen Dritter erforderlich ist oder zur Aufklärung von mutmasslich rechtsmissbräuchlichen Handlun-
gen der betroffenen Person erforderlich ist.

9. Handlungsanleitungen

Dem Ziel, dass im Alltag regelmässig eintretende Situationen datenschutzrechtlich korrekt gehandhabt werden,
dienen die folgenden Handlungsanleitungen.

9.1 Verhalten bei telefonischen und schriftlichen Anfragen

Ohne ausdrückliche Einwilligung der betroffenen Person oder ohne entsprechende gesetzliche Erlaubnis dürfen
Personendaten nicht an Aussenstehende weitergegeben werden.
Bei telefonischen Anfragen ist die eindeutige Identifizierung der anfragenden Person sicherzustellen.
Werden Telefongespräche aufgezeichnet,
muss darauf hingewiesen werden und die Zustimmung der Gesprächspartner eingeholt werden.

9.2 Grundsätze der E-Mail-Nutzung

E-Mails können durch Dritte mitgelesen oder verändert werden. Grundsätzlich sollen deshalb möglichst wenig Perso-
nendaten per E-Mail übermittelt werden und sie sollen keine sensiblen Informationen oder Angaben über Passwörter
und andere Zugangsdaten enthalten.
Per E-Mail dürfen besonders schützenswerte Daten grundsätzlich nur verschlüsselt übermittelt werden, sofern die
betroffene Person keine gegenteilige, schriftliche Erklärung abgegeben hat.
Zu beruflichen Zwecken bearbeitete Personendaten dürfen nicht auf privaten Geräten gespeichert werden.
Im Übrigen gilt das IT Reglement von der Aubag System AG

9.3 Verwendung Bild-/Tonaufnahmen

Auf Bild-, Film- und/oder Tonaufnahmen erkennbar dürfen nur Personen festgehalten werden, welche dazu ihre Ein-
willigung gegeben haben.

Die Einwilligung der betroffenen Person muss freiwillig, ausdrücklich und nach vorgängiger Aufklärung über den
Zweck und die Verwendung der Aufnahmen erfolgen. Die Zustimmung kann schriftlich oder –
bei Anwesenheit mehrerer Personen – mündlich oder nonverbal erfolgen und ist zu dokumentieren.

10. Verantwortlichkeiten

10.1 Verwaltungsrat

verantwortlich.

Der Verwaltungsrat ist auf strategischer Ebene für die Gewährleistung des Datenschutzes bei der Aubag System AG
Er nimmt den Datenschutz als relevantes Thema auf und beurteilt die entsprechenden Risiken in strategisch stufengerechter Weise.
Er erlässt die vorliegende Weisung Datenschutz und überprüft dieses regelmässig.
Er bestimmt eine Person (Personalabteilung), regelt seine Aufgaben, Verantwortlichkeiten und Kompetenzen unter
Berücksichtigung der Vorschriften der Gesetzgebung und nimmt jährlich Berichterstattung entgegen.

10.2 Geschäftsleitung

Die Geschäftsleitung ist zuständig für die Umsetzung dieses Konzepts und für die Einhaltung der datenschutzrechtlichen
Vorgaben im Rahmen aller Datenbearbeitungen auf operativer Ebene.
Sie sorgt in geeigneter Weise dafür, dass alle Mitarbeitenden regelmässig für die Belange des Datenschutzes sensi-
bilisiert und über die Vorgaben dieser Weisung und deren Anwendung im beruflichen Alltag informiert werden.

10.3 Datenschutzverantwortlicher

Die von der Geschäftsleitung bestimmte Datenschutzstelle (bei uns die Personalabteilung) organisiert die Umset-
zung und Einhaltung der Datenschutz Vorgaben und berät die Geschäftsleitung und die Führungspersonen. Sie hat
keine Entscheidungsbefugnisse, aber meldet wesentliche Verstösse gegen die Datenschutz Weisung der Geschäftsleitung.

10.4 Leitung HR

Die Leitung HR ist für die sorgfältige und datenschutzkonforme Bearbeitung der Personendaten der Mitarbeitenden
im Rahmen der Personalarbeit verantwortlich.

10.5 Führungspersonen

Die Vorgesetzten aller Stufen nehmen eine Vorbildfunktion wahr und fördern die Motivation der Mitarbeitenden, dem
Datenschutz bei ihrem Handeln am Arbeitsplatz Rechnung zu tragen.
Sie sind in ihren Verantwortungsbereichen für die Durchsetzung und Einhaltung des Datenschutzes verantwortlich,
insbesondere im Rahmen dieser Weisung und der Geschäftsprozesse.
Sie sorgen für die datenschutzmässige Sensibilisierung und handlungsorientierte Anleitung der Mitarbeitenden.

10.6 Mitarbeitende

Alle Mitarbeitenden von der Aubag System AG, welche Personendaten bearbeiten, tragen dem Datenschutz eigen-
verantwortlich Rechnung und handeln gemäss der Weisung Datenschutz, dem IT- Reglement und der Datenschutzerklärung

Sie wenden sich bei Fragen und Unsicherheiten an ihre Vorgesetzten.

Diese Weisung gilt ab Juli 2025.

Pfäffikon , 01.07.2025