Datenschutzerklärung

1. Allgemeines

Der «Threema Shop» (https://shop.threema.ch/) ist ein webbasiertes Angebot der Threema GmbH (nachfolgend «Threema») an «Kunden», welche Lizenzen für die «Threema-App» für Mobilgeräte mit Android-Betriebssystem erwerben und/oder die Datei der Threema-App herunterladen möchten.

Datenschutz und Privatsphäre sind untrennbar mit Threema verbunden, weshalb wir Kunden des Threema Shop und interessierten Personen mit der vorliegenden Datenschutzerklärung die Informationen für eine transparente Bearbeitung ihrer Personendaten zur Verfügung stellen.

A. Geltungsbereich

Die vorliegende Datenschutzerklärung gilt für sämtliche Datenbearbeitungen, welche beim Besuch und der Interaktion mit dem Threema Shop mit Personendaten in Zusammenhang stehen, nämlich:

A. Aufruf des Threema Shop;
B. Lizenzschlüssel kaufen;
C. Lizenzschlüssel wiederherstellen;
D. Promo-Codes einlösen;
E. Threema-App herunterladen;
F. Missbrauchsschutz (hCaptcha).

Bei Threema als für die Datenbearbeitung verantwortliche Person handelt es sich um eine Gesellschaft mit beschränkter Haftung nach schweizerischem Recht mit Sitz in Pfäffikon SZ (politische Gemeinde Freienbach), Schweiz, und Unternehmensidentifikationsnummer (nachfolgend «UID») CHE-221.440.104.

Personendaten werden beim Besuch und der Interaktion mit dem Threema Shop durch den Kunden, sofern nicht anders in dieser Datenschutzerklärung angegeben, ausschliesslich auf Threema-eigenen Servern in zwei Rechenzentren eines «ISO 27001»-zertifizierten Colocation Partners mit Standorten in Zürich, Schweiz, bearbeitet und allenfalls gespeichert (nachfolgend «Threema-Server»).

Als Unternehmen mit Sitz in der Schweiz unterliegen Threema und die von ihr ausgeführten Datenbearbeitungen dem schweizerischen Datenschutzrecht (Bundesgesetz über den Datenschutz vom 25. September 2020, SR 235.1; nachfolgend «DSG»). Für betroffene Personen, die sich auf dem Gebiet der EU oder des EWR aufhalten (gekennzeichnet mit «für EU/EWR»), kann zusätzlich europäisches Datenschutzrecht (Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung; nachfolgend «DSGVO») zur Anwendung gelangen.

Bei Personendaten gemäss Art. 5 lit. a DSG [für EU/EWR: Art. 4 Nr. 1 DSGVO] handelt es sich um Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

B. Verantwortliche

Threema GmbH
Churerstrasse 82
8808 Pfäffikon SZ
Schweiz

UID: CHE-221.440.104

C. Datenschutzberater

Threema GmbH
Datenschutzberater
Churerstrasse 82
8808 Pfäffikon SZ
Schweiz

E-Mail: privacy at threema punkt ch

D. Vertreterin in der EU (Art. 27 DSGVO)

ACC Datenschutz UG
Messestrasse 6
94036 Passau
Deutschland

E. Schweizerische Aufsichtsbehörde

Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldweg 1
3003 Bern
Schweiz

Telefon: +41 58 462 43 95
Kontaktformular des EDÖB: Link

2. Bearbeitungstätigkeiten

Je nach Interaktion beim Besuch des Threema Shop durch den Kunden bearbeitet Threema unterschiedliche Kategorien von Personendaten über den Kunden zu unterschiedlichen Zwecken, gestützt auf unterschiedliche Rechtsgrundlagen und mit unterschiedlichen Speicherdauern, falls überhaupt Personendaten gespeichert werden.

A. Aufruf des Threema Shop

Bearbeitungstätigkeit

Beim Aufruf des Threema Shop werden durch den Browser auf dem Gerät des Kunden automatisch Informationen, darunter Personendaten, an die Threema-Server gesendet, bearbeitet und in einem Logfile gespeichert.

Nach der Bearbeitung der vollständigen IP-Adresse werden im Normalfall nur die ersten zwei Stellen der IP-Adresse eines Kunden im Logfile gespeichert, es sei denn, beim Aufruf des Threema Shop ist ein Fehler aufgetreten. Bei einem Fehler wird die vollständige IP-Adresse im Logfile gespeichert.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Aufruf des Threema Shop auf den Threema-Servern bearbeitet und in Logfiles gespeichert:

  • IP-Adresse des Kunden.

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Auslieferung des Threema Shop im Browser des Kunden;
  • Informationssicherheit.

Rechtsgrundlage

Die Bearbeitung und Speicherung von IP-Adressen ist technisch notwendig und erfolgt auf Grundlage überwiegender privater Interessen (Auslieferung des Threema Shop an den Kunden; Informationssicherheit) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Die Bearbeitung der IP-Adresse ist technisch notwendig, um dem Kunden den Threema Shop in seinem Browser auszuliefern, sowie um etwaige technische Fehler zur Erhöhung der Informationssicherheit analysieren zu können.

Speicherdauer

Das beim Aufruf des Threema Shop erstellte Logfile mit der IP-Adresse des Kunden wird für 10 Tage, gerechnet ab dem Erstelldatum des Logfiles, auf den Threema-Servern gespeichert und anschliessend automatisch gelöscht.

B. Lizenzschlüssel kaufen

Bearbeitungstätigkeit

Um Lizenzschlüssel für die Threema-App im Threema Shop zu kaufen, müssen Kunden einen Bestellvorgang durchlaufen. Mit Ausnahme der E-Mail-Adresse des Kunden ist die Angabe sämtlicher Personendaten im Bestellvorgang freiwillig und optional; sie dienen der Individualisierung der Rechnung des Kunden, sofern er dies wünscht.

Hinweis: Bei den Zahlungsarten stehen dem Kunden mehrere Optionen zur Verfügung, von denen keine die Angabe von Personendaten auf der Website des Threema Shop erfordert. Zahlungen mit Kreditkarte (MasterCard und Visa) werden mithilfe der Datatrans AG, Kreuzbühlstrasse 26, 8008 Zürich, Schweiz (nachfolgend «Datatrans») abgewickelt. Zur Eingabe seiner Zahlungsinformationen wird der Kunde zu Datatrans weitergeleitet. Nähere Informationen zum Datenschutz bei Datatrans finden Kunden unter diesem externen Link.

Nach Abschluss des Bestellvorgangs werden die vom Kunden erworbenen Lizenzschlüssel an die von ihm angegebene E-Mail-Adresse zugestellt. Nach erfolgreicher Zustellung wird die E-Mail-Adresse des Kunden in einen einwegverschlüsselten Hashwert umgewandelt und über eine Bestellungsnummer mit den erworbenen Lizenzschlüsseln verknüpft auf den Threema-Servern gespeichert.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Absenden einer Bestellung von Lizenzschlüsseln auf den Threema-Servern bearbeitet und gespeichert:

  • E-Mail-Adresse (einwegverschlüsselt);
  • Firma (optional);
  • Vorname (optional);
  • Nachname (optional);
  • Adresse (optional);
  • MwSt.-Nummer (optional).

Zum Schutz des Threema Shop vor missbräuchlicher Verwendung setzt Threema den Dienst hCaptcha ein (siehe Ziff. 2.F.).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Vertragserfüllung.

Rechtsgrundlage

Die Bearbeitung von Personendaten des Kunden beim Kauf von Lizenzschlüsseln erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um Verträge mit Kunden über den Erwerb von Lizenzschlüsseln zu erfüllen.

Speicherdauer

Die beim Kauf von Lizenzschlüsseln angegebene E-Mail-Adresse wird nach erfolgreicher Zustellung der Lizenzschlüssel an den Kunden auf den Threema-Servern in einen einwegverschlüsselten Hashwert umgewandelt und bis auf Widerruf gespeichert.

Die Speicherung der einwegverschlüsselten E-Mail-Adresse ermöglichst dem Kunden eine allfällige Wiederherstellung seiner Lizenzschlüssel (siehe Ziff. 2.C.).

Die weiteren freiwillig und optional vom Kunden angegebenen Personendaten werden bis auf Widerruf auf den Threema-Servern gespeichert.

Hinweis: Threema untersteht einer gesetzlichen Aufbewahrungspflicht von 10 Jahren in Zusammenhang mit Geschäftsbüchern und Buchungsbelegen, einschliesslich etwaiger Personendaten. Zudem behält sich Threema das Recht vor, alle zum Nachvollzug der Vertragsbeziehung mit einem Kunden erforderlichen Daten und Dokumente, einschliesslich etwaiger Personendaten, für die Dauer der ordentlichen Verjährungsfrist von 10 Jahren aufzubewahren.

C. Lizenzschlüssel wiederherstellen

Bearbeitungstätigkeit

Sollte ein Kunde seine gekauften Lizenzschlüssel vergessen oder verloren haben, kann er sie über die Website des Threema Shop auf zwei Arten jederzeit automatisch wiederherstellen.

Als datensparsame Option bietet Threema dem Kunden die Möglichkeit, seine Rechnungsreferenz anzugeben. Anschliessend werden dem Kunden seine Lizenzschlüssel direkt im Threema Shop angezeigt.

Alternativ kann der Kunde seine E-Mail-Adresse, mit der er die Lizenzschlüssel gekauft hat, angeben. Die angegebene E-Mail-Adresse wird in einen einwegverschlüsselten Hashwert umgewandelt und mit den auf den Threema-Servern gespeicherten Hashwerten von Kunden verglichen.

Stimmt der Hashwert der E-Mail-Adresse des Kunden mit einem auf den Threema-Servern gespeicherten Hashwert überein, werden die entsprechenden über die Bestellungsnummer verknüpften Lizenzschlüssel an die angegebene E-Mail-Adresse des Kunden geschickt.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden bei der Widerherstellung von Lizenzschlüsseln auf den Threema-Servern bearbeitet:

  • E-Mail-Adresse (einwegverschlüsselt).

Zum Schutz des Threema Shop vor missbräuchlicher Verwendung setzt Threema den Dienst hCaptcha ein (siehe Ziff. 2.F.).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Vertragserfüllung.

Rechtsgrundlage

Die Bearbeitung der E-Mail-Adresse des Kunden bei der Wiederherstellung von Lizenzschlüsseln erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um Verträge mit Kunden über den Erwerb von Lizenzschlüsseln zu erfüllen.

Speicherdauer

Die zur Widerherstellung von Lizenzschlüsseln angegebene E-Mail-Adresse wird nach erfolgreicher Zustellung der wiederhergestellten Lizenzschlüssel an den Kunden sofort gelöscht und nie dauerhaft auf den Threema-Servern gespeichert.

Die einwegverschlüsselte E-Mail-Adresse des Kunden vom Kauf seiner Lizenzschlüssel bleibt weiterhin auf den Threema-Servern gespeichert (siehe Ziff. 2.B.).

D. Promo-Codes einlösen

Bearbeitungstätigkeit

Zusätzlich zum kostenpflichten Kauf von Lizenzschlüsseln können Kunden diese auch durch Einlösen von Promo-Codes erwerben. Dazu muss der Kunde den Promo-Code und seine E-Mail-Adresse im Threema Shop angeben.

Nach Einlösen des Promo-Codes wird der vom Kunden erworbene Lizenzschlüssel an die von ihm angegebene E-Mail-Adresse zugestellt.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Einlösen von Promo-Codes auf den Threema-Servern bearbeitet:

  • E-Mail-Adresse.

Zum Schutz des Threema Shop vor missbräuchlicher Verwendung setzt Threema den Dienst hCaptcha ein (siehe Ziff. 2.F.).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Vertragserfüllung.

Rechtsgrundlage

Die Bearbeitung der E-Mail-Adresse des Kunden beim Einlösen von Promo-Codes erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um Verträge mit Kunden über den Erwerb von Lizenzschlüsseln zu erfüllen.

Speicherdauer

Die beim Einlösen von Promo-Codes angegebene E-Mail-Adresse wird nach erfolgreicher Zustellung des Lizenzschlüssels an den Kunden sofort gelöscht und nie dauerhaft im Klartext auf den Threema-Servern gespeichert.

E. Threema-App herunterladen

Bearbeitungstätigkeit

Um die Threema-App herunterladen zu können, muss der Kunde für eine Lizenzprüfung seinen Lizenzschlüssel im Threema Shop angeben. Der vom Kunden angegebene Lizenzschlüssel wird auf den Threema-Servern mit gültigen Lizenzschlüsseln abgeglichen.

Stimmt der Lizenzschlüssel des Kunden mit einem gültigen Lizenzschlüssel überein, wird dem Kunden die Datei der Threema-App zum Download freigegeben.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden bei der Lizenzprüfung zum Herunterladen der Threema-App auf den Threema-Servern bearbeitet:

  • Lizenzschlüssel.

Zum Schutz des Threema Shop vor missbräuchlicher Verwendung setzt Threema den Dienst hCaptcha ein (siehe Ziff. 2.F.).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:

  • Vertragserfüllung.

Rechtsgrundlage

Die Bearbeitung des Lizenzschlüssels des Kunden für die Lizenzprüfung erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um die Berechtigung des Kunden zum Download und zur Nutzung der Threema-App zu überprüfen.

Speicherdauer

Der für die Lizenzprüfung vom Kunden angegebene Lizenzschlüssel wird nach der Lizenzprüfung sofort gelöscht und nicht dauerhaft auf den Threema-Servern gespeichert.

F. Missbrauchsschutz (hCaptcha)

Bearbeitungstätigkeit

Zum Schutz des Threema Shop vor missbräuchlicher Verwendung durch maschinell abgesendete Formulare setzt Threema bei sämtlichen im Threema Shop verwendeten Formularen das Captcha des Dienstes «hCaptcha» ein.

hCaptcha ist ein Dienst von Intuition Machines, Inc., 350 Alabama St, San Francisco, CA 94110, USA (nachfolgend «Intuition Machines»). hCaptcha ist «ISO 27001»-zertifiziert. Nähere Informationen zum Datenschutz bei Intuition Machines finden Kunden unter diesem externen Link.

Die USA als Sitzstaat von Intuition Machines und wahrscheinlicher Ort der Datenbearbeitung des Dienstes hCaptcha steht nicht auf der Staatenliste im Anhang 1 zur Verordnung über den Datenschutz vom 31. August 2022 («DSV»; SR. 235.11) und bietet deshalb keinen angemessenen Datenschutz; Art. 16 Abs. 1 DSG in Verbindung mit Art. 8 Abs. 1 DSV.

Deshalb werden die an Intuition Machines bekanntgegebenen Personendaten vor ihrer Bekanntgabe auf den Threema-Servern in einen einwegverschlüsselten Hashwert umgewandelt.

Hinweis: Es werden somit keine Personendaten an Intuition Machines bekanntgegeben;eine Bestimmbarkeit von Kunden ist somit ausgeschlossen.

Kategorien bearbeiteter Personendaten

Folgende Personendaten werden beim Lösen eines Captchas auf den Threema-Servern bearbeitet und in pseudonymisierter Form an Intuition Machines bekanntgegeben:

  • IP-Adresse (einwegverschlüsselt).

Zweck

Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet und in pseudonymisierter Form an Intuition Machines bekanntgegeben:

  • Informationssicherheit.

Rechtsgrundlage

Die Bearbeitung von IP-Adressen auf den Threema-Servern und ihre Bekanntgabe in pseudonymisierter Form an Intuition Machines erfolgt auf Grundlage überwiegender privater Interessen (Missbrauchsschutz) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].

Notwendigkeit

Diese Datenbearbeitung ist notwendig, um den Threema Shop vor missbräuchlicher Verwendung durch maschinell abgesendete Formulare zu schützen.

Speicherdauer

Die IP-Adressen von Kunden werden nach ihrer Pseudonymisierung und Bekanntgabe an Intuition Machines in pseudonymisierter Form sofort von den Threema-Servern gelöscht.

3. Bekanntgabe von Daten an Dritte

Personendaten, welche beim Besuch des Threema Shop durch den Kunden übermittelt und auf den Threema-Servern bearbeitet und gespeichert werden, gibt Threema grundsätzlich nicht an Dritte bekannt.

Threema behält sich das Recht vor, Personendaten an Dritte (z.B. Rechtsanwälte) bekanntzugeben, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch Threema erforderlich ist.

4. Beschaffung von Daten bei Dritten

Personendaten, welche beim Besuch und der Interaktion mit dem Threema-Shop durch den Kunden übermittelt und auf den Threema-Servern bearbeitet und gespeichert werden, beschafft Threema grundsätzlich direkt beim Kunden.

5. Datensicherheit

Threema ergreift sämtliche notwendigen technischen und organisatorischen Massnahmen, um den unbefugten Zugriff auf und den Missbrauch von Daten der Kunden des Threema Shop zu verhindern. Die Sicherheitsmassnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

6. Rechte des Kunden

Kunden des Threema Shop können als betroffene Person verschiedene datenschutzrechtliche Ansprüche gegenüber Threema geltend machen.

Zur Erfüllung dieser Ansprüche muss Threema allenfalls Personendaten von betroffenen Personen bearbeiten. Insbesondere muss Threema in der Lage sein, die betroffene Person zu identifizieren, um sicherzustellen, dass die Betroffenenrechte von keiner anderen als der betroffenen Person ausgeübt werden und keine Personendaten widerrechtlich an Dritte bekanntgegeben werden.

Abhängig vom anwendbaren Recht können betroffene Personen folgende Rechte in Zusammenhang mit Personendaten gegenüber Threema geltend machen:

Recht auf Auskunft

Art. 25 und 26 DSG [für EU/EWR: Art. 15 DSGVO]

Eine betroffene Person hat das Recht, Auskunft über ihre von Threema bearbeiteten Personendaten zu verlangen.

Recht auf Berichtigung oder Vervollständigung

Art. 32 Abs. 1 DSG [für EU/EWR: Art. 16 DSGVO]

Eine betroffene Person hat das Recht, von Threema unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Personendaten zu verlangen.

Recht auf Löschung

Art. 32 Abs. 2 DSG [für EU/EWR: Art. 17 DSGVO] Eine betroffene Person hat das Recht, von Threema innert nützlicher Frist die Löschung ihrer Personendaten zu verlangen.

Recht auf Widerruf

nur bei Datenbearbeitung auf Grundlage von Einwilligung; Art. 30 Abs. 2 DSG [für EU/EWR: Art. 7 Abs. 3 DSGVO]

Eine betroffene Person hat das Recht, ihre Einwilligung in die Bearbeitung ihrer Personendaten durch Threema zu widerrufen. Dies hat zur Folge, dass Threema die Datenbearbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen darf. Die bis zu diesem Zeitpunkt aufgrund Einwilligung des Besuchers erfolgte Bearbeitung seiner Personendaten durch Threema bleibt rechtmässig.

Recht auf Widerspruch

nur bei Datenbearbeitung auf Grundlage von überwiegenden Interessen; Art. 30 Abs. 2 DSG [für EU/EWR: Art. 21 DSGVO]

Eine betroffene Person hat das Recht, Widerspruch gegen die Bearbeitung ihrer Personendaten durch Threema einzulegen, sofern die entsprechenden Personendaten auf Grundlage von überwiegenden privaten Interessen von Threema bearbeitet werden; Art. 31 DSG [für EU/EWR: Art. 6 Abs. 1 lit. f DSGVO].

Recht auf Sperrung

Art. 32 DSG [für EU/EWR: Art. 18 DSGVO]

Eine betroffene Person hat das Recht, zum Schutz ihrer Persönlichkeit die Sperrung der Bearbeitung ihrer Personendaten durch Threema zu verlangen.

Recht auf Datenübertragung

Art. 28 und 29 DSG [für EU/EWR: Art. 20 DSGVO] [nur bei Datenbearbeitung auf Grundlage von Einwilligung oder Vertrag und mithilfe automatisierter Verfahren]

Eine betroffene Person hat das Recht, ihre Personendaten, welche sie Threema bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sofern:

  • die Bearbeitung auf einer Einwilligung oder auf einem Vertrag beruht; und
  • die Bearbeitung mithilfe automatisierter Verfahren erfolgt.

7. Aktualität und Änderung der Datenschutzerklärung

Threema behält sich vor, diese Datenschutzerklärung gelegentlich anzupassen, um geänderten rechtlichen Anforderungen gerecht zu werden oder neue Funktionalitäten in der Datenschutzerklärung umzusetzen. Die aktuelle Datenschutzerklärung ist stets auf der Website des Threema Shop verlinkt.