Diese Datenschutzerklärung informiert Sie gemäss dem Schweizer Bundesgesetz über den Datenschutz (nDSG) darüber, wie wir Ihre Personendaten im Zusammenhang mit der Nutzung der BlessThun Food System (nachfolgend «Plattform») bearbeiten.

1. Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung ist:

BlessThun
Industriestrasse 5
3600 Thun
Schweiz

E-Mail: levyn.schneider@leys.ch

2. Erhobene Personendaten

Wir bearbeiten folgende Kategorien von Personendaten:

• Kontodaten: Name, E-Mail-Adresse, Passwort (verschlüsselt), Google-Konto-Informationen bei Anmeldung via Google
• Bestelldaten: Bestellte Artikel, Bestellverlauf, Zeitstempel, Bestellstatus
• Zahlungsdaten: Zahlungsmethode, Transaktions-IDs und Zahlungsstatus (die eigentliche Zahlungsabwicklung erfolgt durch Payrexx; wir speichern keine Kreditkarten- oder TWINT-Kontodaten)
• Technische Daten: IP-Adresse, Browsertyp, Betriebssystem, Gerätetyp, Sitzungsinformationen
• Kommunikationsdaten: Inhalte von E-Mails, die im Zusammenhang mit Bestellungen versendet werden (z.B. Bestellbestätigungen, Quittungen)

3. Zwecke der Datenbearbeitung

Wir bearbeiten Ihre Personendaten zu folgenden Zwecken:

• Erstellung und Verwaltung Ihres Benutzerkontos
• Abwicklung und Erfüllung Ihrer Bestellungen
• Zahlungsabwicklung über Payrexx (TWINT)
• Versand von transaktionalen E-Mails (Bestellbestätigungen, Quittungen)
• Sitzungsverwaltung und Authentifizierung
• Gewährleistung der Sicherheit und Funktionalität der Plattform
• Erfüllung gesetzlicher Aufbewahrungspflichten

4. Empfänger und Auftragsbearbeiter

Zur Erbringung unserer Dienstleistungen geben wir Personendaten an folgende Dritte weiter:

• Payrexx AG (Thun, Schweiz) — Zahlungsabwicklung (TWINT)
• Plunk — Versand transaktionaler E-Mails
• Google LLC — Authentifizierung via Google OAuth (sofern Sie diese Anmeldemethode wählen)
• Microsoft Azure — Cloud-Hosting und Infrastruktur

Mit allen Auftragsbearbeitern bestehen Vereinbarungen zur Auftragsbearbeitung gemäss Art. 9 nDSG.

5. Datenübermittlung ins Ausland

Bestimmte Auftragsbearbeiter haben ihren Sitz ausserhalb der Schweiz. Daten können in folgende Länder übermittelt werden:

• USA (Google, Plunk (Amazon SES)) — Die Übermittlung erfolgt auf Grundlage von Standarddatenschutzklauseln (Standard Contractual Clauses, SCC) oder anderer geeigneter Garantien gemäss Art. 16–17 nDSG.
• EU/EWR (ggf. Azure-Rechenzentren) — Die EU/der EWR verfügt über ein vom Bundesrat anerkanntes angemessenes Datenschutzniveau.

Soweit möglich, werden Daten in Schweizer Rechenzentren (Azure Switzerland North) verarbeitet.

6. Cookies und Sitzungsverwaltung

Wir verwenden technisch notwendige Cookies für die Sitzungsverwaltung und Authentifizierung. Diese Cookies sind für den Betrieb der Plattform erforderlich und ermöglichen es Ihnen, angemeldet zu bleiben und Bestellungen aufzugeben. Es werden keine Tracking- oder Werbe-Cookies eingesetzt.

Sie können Cookies in Ihren Browsereinstellungen deaktivieren. Beachten Sie jedoch, dass die Plattform ohne Cookies nicht vollständig funktionsfähig ist.

7. Aufbewahrungsdauer

Wir bewahren Ihre Personendaten nur so lange auf, wie es für die genannten Zwecke erforderlich ist:

• Kontodaten: Bis zur Löschung Ihres Kontos
• Bestell- und Zahlungsdaten: 10 Jahre gemäss gesetzlicher Aufbewahrungspflicht (Art. 958f OR)
• Technische Daten / Logs: Maximal 90 Tage

Nach Ablauf der Aufbewahrungsfrist werden Ihre Daten gelöscht oder anonymisiert.

8. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz Ihrer Personendaten gemäss Art. 8 nDSG. Dazu gehören insbesondere verschlüsselte Datenübertragung (TLS), Zugangskontrollen, verschlüsselte Passwortspeicherung sowie regelmässige Sicherheitsüberprüfungen.

9. Ihre Rechte

Gemäss nDSG stehen Ihnen folgende Rechte zu:

• Auskunftsrecht (Art. 25 nDSG): Sie haben das Recht, Auskunft darüber zu erhalten, ob und welche Personendaten wir über Sie bearbeiten.
• Recht auf Datenherausgabe (Art. 28 nDSG): Sie können verlangen, dass Ihnen Ihre Daten in einem gängigen elektronischen Format herausgegeben werden.
• Recht auf Berichtigung: Sie können die Korrektur unrichtiger Personendaten verlangen.
• Recht auf Löschung: Sie können die Löschung Ihrer Personendaten verlangen, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen. Sie können Ihr Konto jederzeit in den Profileinstellungen löschen.

Zur Ausübung Ihrer Rechte kontaktieren Sie uns bitte per E-Mail an [kontakt@example.ch]. Wir werden Ihr Anliegen innert 30 Tagen bearbeiten.

10. Beschwerderecht

Sie haben das Recht, eine Beschwerde beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) einzureichen:

EDÖB
Feldeggweg 1
3003 Bern
Schweiz
www.edoeb.admin.ch

11. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Die aktuelle Fassung ist auf der Plattform abrufbar. Bei wesentlichen Änderungen informieren wir Sie über die auf der Plattform angegebene E-Mail-Adresse.