Datenschutzerklärung

1. Worum geht es in dieser Datenschutzerklärung?

Diese Datenschutzerklärung gibt Auskunft darüber, wie und wozu wir Personendaten erheben, bearbeiten und verwenden. Wir informieren dich u.a. darüber:

• welche Personendaten wir erheben und bearbeiten;
• zu welchen Zwecken wir die Personendaten verwenden;
• wie lange wir Personendaten bearbeiten;
• welche Rechte du im Zusammenhang mit der Bearbeitung von Personendaten hast und;
• wie du uns kontaktieren kannst.

2. Wer ist für die Datenbearbeitung verantwortlich?

Datenschutzrechtlich verantwortlich für eine bestimmte Datenbearbeitung ist jeweils das Unternehmen, das festlegt, ob eine Bearbeitung erfolgt, zu welchen Zwecken sie erfolgt und wie sie ausgestaltet ist. Für die Datenbearbeitung nach dieser Datenschutzerklärung ist grundsätzlich jeweils ein Unternehmen der «Cada-Gruppe» («wir», «uns») verantwortlich. Die Cada-Gruppe bietet medizinische, therapeutische und diagnostische Leistungen in den Bereichen der Gynäkologie und Geburtshilfe sowie der Human-Reproduktionsmedizin an und besteht aus der Cada Fertility AG (Neuwiesenstrasse 15, 8400 Winterthur, CHE-321.718.748) und ihren Tochtergesellschaften, Cada Clinics AG (Neuwiesenstrasse 15, 8400 Winterthur, CHE-170.209.333), Cada Health AG (Neuwiesenstrasse 15, 8400 Winterthur, CHE-499.863.124) und Cada Lab AG (Neuwiesenstrasse 15, 8400 Winterthur, CHE-289.024.931). In der Regel (i.d.R.) ist das Unternehmen für die Datenbearbeitung verantwortlich, das auf diese Datenschutzerklärung hingewiesen hat (z.B., wenn du dessen Dienstleistungen in Anspruch nimmst). Für eine bestimmte Datenbearbeitung können auch mehrere Unternehmen der Cada-Gruppe gemeinsam verantwortlich sein, wenn sie über Ausgestaltung und Zweck der Datenbearbeitung gemeinsam entscheiden.

3. Für wen und wofür ist die Datenschutzerklärung bestimmt?

Diese Datenschutzerklärung gilt für alle Personen («du»), deren Daten wir bearbeiten, unabhängig davon, auf welche Weise sie mit uns in Kontakt treten (z.B. in einer Praxis oder Klinik, auf einer Webseite, in einer App, über ein Online-Terminbuchungs-Tool, telefonisch, über ein soziales Netzwerk, auf einer Veranstaltung etc.).

Unsere Datenbearbeitungen betreffen insbesondere folgende Kategorien von Personen, soweit wir dabei Personendaten bearbeiten:

• Patient:innen in unseren Praxen und Kliniken;
• Personen, die Dienstleistungen von uns in Anspruch nehmen oder die mit Angeboten von uns in Kontakt kommen;
• Personen, die unsere App nutzen;
• Besucher:innen unserer Webseiten;
• Besucher:innen unserer Räumlichkeiten;
• Personen, die uns schreiben oder auf andere Weise mit uns Kontakt aufnehmen;
• Empfänger:innen von Informationen und Marketingkommunikation;
• Personen, die an Marktforschungs- und Meinungsumfragen, Patient:innenbefragungen oder Wettbewerben und Gewinnspielen teilnehmen;
• Kontaktpersonen von unseren Lieferant:innen, Geschäftspartner:innen sowie von Organisationen und Behörden;
• Stellenbewerber:innen.

Diese Datenschutzerklärung gilt für die Bearbeitung von Personendaten in allen unseren Geschäftsbereichen, darunter die Cada Praxen, Cada Kliniken und Cada Laboratorien und durch alle Unternehmen der Cada-Gruppe. Die einzelnen Unternehmen der Cada-Gruppe können die Datenschutzerklärung jedoch durch weitere Hinweise ergänzen. Bitte konsultiere daher jeweils auch allfällige ergänzende Datenschutzhinweise des betreffenden Unternehmens (i.d.R. auf der Webseite auffindbar).

Bitte konsultiere auch die Vertragsbestimmungen (z.B. Allgemeine Geschäftsbedingungen (AGB)). Diese können ergänzende Hinweise auf unsere Datenbearbeitungen enthalten. Für Angaben zur Erhebung und Bearbeitung von Personendaten bei der Verwendung unserer Webseiten, Apps und Social Media-Auftritte, insbesondere im Zusammenhang mit Cookies und ähnlichen Technologien, konsultiere bitte auch unsere Cookie-Richtlinie.

4. Welche Personendaten bearbeiten wir?

«Personendaten» sind alle Angaben, die sich auf eine bestimmte oder bestimmbare Person beziehen. Wir bearbeiten verschiedene Kategorien von Personendaten. Die wichtigsten Kategorien findest du nachfolgend. Im Einzelfall können wir aber auch weitere Personendaten bearbeiten.

4.1 Stammdaten

«Stammdaten» sind grundlegende Daten über dich. Wir erheben Stammdaten insbesondere, wenn du dich für eines unserer Angebote (z.B. medizinische Untersuchung oder Behandlung) anmeldest oder ein Benutzer:innenkonto (z.B. in einer unserer Apps) erstellst. Stammdaten erheben wir aber beispielsweise auch, wenn du dich für einen Newsletter anmeldest oder an einem Wettbewerb oder Gewinnspiel teilnimmst. Auch für Zugangskontrollen zu unseren Anlässen oder Büroräumlichkeiten erheben wir Stammdaten. Stammdaten erheben wir ausserdem über Kontaktpersonen und Vertreter:innen von Vertragspartner:innen, Organisationen und Behörden. Wir können im Rahmen von Stammdaten auch Gesundheitsdaten sowie Angaben über Dritte (z.B. Familienangehörige) bearbeiten.

Zu den Stammdaten gehören beispielsweise:

• Anrede, Vorname, Name, Geschlecht, Geburtsdatum, Nationalität;
• Adresse, E-Mail-Adresse, Telefonnummer und andere Kontaktdaten;
• Kunden- und Buchungsnummer (z.B. Online-Terminreservation);
• Krankenkassennummer und gewähltes Versicherungsmodell;
• Portraitfoto für Kundendatei;
• Zahlungsinformationen (z.B. Rechnungsadresse, Bankverbindung);
• Benutzername und Profilbild für Accounts von Online-Angeboten;
• Angaben zur Nutzung von Online-Angeboten, Apps und Abonnements (z.B. Newsletter);
• Angaben zur Teilnahme an Wettbewerben und Gewinnspielen;
• Angaben zu verbundenen Webseiten und Social Media-Profilen, etc.;
• Angaben zu Vorlieben und Interessen, präferierte Cada-Standorte, Sprachpräferenzen, etc.;
• Angaben über deine Beziehung mit uns (z.B. Patient:in, Besucher:in, Stellenbewerber:in, Lieferant:in);
• Angaben über verbundene Dritte (z.B. Kontaktpersonen, Familienmitglieder);
• Behördliche Dokumente, in denen du vorkommst (z.B. Ausweisdokumente, Impfausweis, etc.).

4.2 Vertragsdaten

«Vertragsdaten» sind Personendaten, die im Zusammenhang mit dem Vertragsschluss bzw. der Vertragsabwicklung anfallen (z.B. Art und Dauer eines zwischen dir und uns geschlossenen Behandlungsvertrages oder das Kaufdatum, die Produktbezeichnung und die Mengenangabe in Bezug auf einen Arzneimittelkauf). Auch Gesundheitsdaten und Angaben über Dritte (z.B. Angaben über Krankheitsfälle in der Familie) können dazu gehören. Verträge schliessen wir insbesondere mit Patient:innen, Geschäftspartner:innen und Stellenbewerber:innen ab. Wenn du gestützt auf einen Vertrag Angebote von uns nutzt (z.B. Inanspruchnahme einer Dienstleistung) erheben wir häufig auch Verhaltens- und Transaktionsdaten (s. Ziff. 4.5.).

Zu den Vertragsdaten gehören beispielsweise:

• Angaben über die Anbahnung und den Abschluss von Verträgen (z.B. Art und Dauer des Behandlungsvertrages, Datum des Vertragsschlusses, Kaufdatum, Produktbezeichnung und Mengenangabe im Zusammenhang mit dem Bezug von Arzneimitteln);
• Angaben über die Abwicklung und Verwaltung von Verträgen (z.B. Kontaktangaben, Zahlungsinformationen, erbrachte Tarifpositionen und andere Abrechnungen);
• Angaben über unsere Interaktionen mit dir (allenfalls Historie mit entsprechenden Eintragungen);
• Angaben über Forderungen und erworbene Ansprüche und Vorteile (z.B. Gewinn bei einem Wettbewerb);
• Angaben über bezogene Produkte und Dienstleistungen;
• Angaben über Mängel und Beschwerden sowie Vertragsanpassungen;
• Angaben zu finanziellen Belangen (z.B. zur Bestimmung der Bonität, zu Mahnungen, zum Inkasso und zur Durchsetzung von Forderungen);
• Angaben im Zusammenhang mit einer Stellenbewerbung (z.B. Lebenslauf, Referenzen, Qualifikationen, Zeugnisse)

4.3 Gesundheitsdaten

Gesundheitsdaten» sind alle Informationen, die Rückschlüsse auf den körperlichen, psychischen oder geistigen Gesundheitszustand einer Person erlauben. Aufgrund unseres medizinischen, therapeutischen und diagnostischen Angebots bearbeiten wir regelmässig Gesundheitsdaten. Informationen, wie wir diese besonders schützenswerten Daten bearbeiten, findest du unter Ziffer 10.

Zu den Gesundheitsdaten gehören beispielsweise:

• Krankengeschichten bzw. Patient:innendossiers;
• medizinische Befunde (z.B. Ergebnisse aus medizinischen, labor- und gerätemedizinischen Untersuchungen);
• ärztliche Zeugnisse (z.B. Rezepte, Arbeitsunfähigkeitszeugnisse);
• Auskünfte von Dritten (z.B. Austritts- und Überweisungsberichte).

4.4 Kommunikationsdaten

Wenn du mit uns oder wir mit dir in Kontakt stehen (z.B., wenn du eine Praxis kontaktierst oder uns schreibst oder anrufst), bearbeiten wir die ausgetauschten Kommunikationsinhalte und Angaben über die Art, den Zeitpunkt und den Ort der Kommunikation. In bestimmten Situationen können wir dich zur Identifikation auch um einen Identitätsnachweis oder deine Krankenkassennummer bitten.

Zu den Kommunikationsdaten gehören beispielsweise:

• Vorname, Name und Kontaktangaben (z.B. Postadresse, Telefonnummer, E-Mail-Adresse);
• Inhalt von E-Mails, schriftlicher Korrespondenz, Chatnachrichten, Social Media-Beiträgen, Kommentaren auf Webseiten, Telefongespräche, Videokonferenzen, etc.;
• Angaben zu Art, Zeit und Ort der Kommunikation;
• Identitätsnachweise (z.B. Kopien amtlicher Ausweise, Krankenkassennummer);
• Metadaten der Kommunikation (z.B. Datum und Zeit eines Anrufs oder einer E-Mail- oder Chatkommunikation).

Telefon- und Videokonferenzgespräche mit uns können aufgezeichnet werden. Falls dies der Fall sein sollte, informieren wir dich jeweils zu Beginn des Gesprächs darüber und geben dir die Möglichkeit, der Aufzeichnung zu widersprechen.

4.5 Verhaltens- und Transaktionsdaten

Wenn du unsere Dienstleistungen in Anspruch nimmst oder unsere Infrastruktur nutzt, erheben wir häufig Daten über diese Nutzung und allgemein über dein Verhalten. Das ist beispielsweise der Fall, wenn du online einen Termin buchst oder unsere Webseiten oder Apps verwendest.

Zu den Verhaltens- und Transaktionsdaten gehören beispielsweise folgende Angaben (sofern sie uns personenbezogen vorliegen):

• Angaben über dein Verhalten auf Webseiten;
• Angeben über die Teilnahme an Wettbewerben und Gewinnspielen;
• Angaben über die Installation und Verwendung von Apps;
• Angaben über die Verwendung elektronischer Mitteilungen (z.B. ob und wann du eine E-Mail geöffnet oder einen Link angeklickt hast)

4.6 Präferenzdaten

Um unsere Angebote und Leistungen bestmöglich auf dich ausrichten zu können, bearbeiten wir Daten zu deinen Interessen und Präferenzen. Dazu können wir Verhaltens- und Transaktionsdaten mit anderen Daten verknüpfen und diese Daten personenbezogen oder nicht personenbezogen auswerten (mit Krankengeschichten bzw. Patient:innendossiers tun wir dies nicht). So können wir Schlüsse auf Eigenschaften, Präferenzen und das voraussichtliche Verhalten ziehen.

4.7 Technische Daten

Wenn du unsere Webseiten, Apps, WiFi-Netze oder andere elektronische Angebote nutzt, erheben wir bestimmte technische Daten (z.B. IP-Adresse, Geräte-ID). Zu den technischen Daten gehören auch Protokolle, in denen wir die Nutzung unserer Systeme aufzeichnen (Log-Daten). Teilweise können wir den Endgeräten (z.B. Laptop, Tablet, Smartphone) zwecks Wiedererkennung beispielsweise mittels Cookies oder ähnlichen Technologien auch eindeutige Kennnummern (ID) zuweisen. Weitere Informationen dazu findest du in unserer Cookie-Richtlinie.

Auf der Basis von technischen Daten können insbesondere auch Verhaltensdaten (s. Ziff. 4.5) erhoben werden. I.d.R. können wir aus den technischen Daten keine Rückschlüsse auf deine Identität ziehen. Im Rahmen von beispielsweise Benutzer:innenkonten, Registrierungen und Vertragsabwicklungen können wir die technischen Daten aber mit anderen Datenkategorien (z.B. Stammdaten) und so ggf. mit deiner Person verknüpfen.

Zu den technischen Daten gehören beispielsweise:

• IP-Adresse und weitere Geräte-IDs (z.B. MAC-Adresse);
• Kennnummern, die Geräten von Cookies und ähnlichen Technologien (z.B. Pixel Tags) zugewiesen werden;
• Angaben über das Gerät und dessen Konfiguration (z.B. Betriebssystem, Spracheinstellungen);
• Angaben über den Browser und dessen Konfiguration;
• Angaben über Bewegungen und Aktionen auf unseren Webseiten und in unseren Apps;
• Angaben über den Internetprovider;
• Angaben zu deinem ungefähren Standort im Zeitpunkt der Nutzung;
• Systemseitige Aufzeichnungen von Zugriffen und anderen Vorgängen (Log-Daten).

4.8 Sonstige Daten

Wir können beispielsweise aus Gründen des Gesundheitsschutzes (z.B. im Rahmen von Schutzkonzepten) Daten erheben. Weiter sind Datenerhebungen und -bearbeitungen beispielsweise im Zusammenhang mit behördlichen oder gerichtlichen Verfahren (z.B. Akten, Beweismittel) möglich. Zudem erheben und bearbeiten wird Daten über unsere Aktionär:innen und andere Anleger:innen.

4.9 Bild- und Tonaufnahmen

Wir fertigen möglicherweise Fotos, Videos und/oder Tonaufnahmen an, in bzw. auf denen du vorkommen kannst (z.B., wenn du mit unseren Klinken oder Praxen Kontakt aufnimmst). Im Rahmen von medizinischen Untersuchungen und Behandlungen können wir beispielsweise zwecks Anamnese, Symptombeurteilung oder Wahl der Behandlungsmassnahmen Aufnahmen (z.B. Fotos, Röntgenbilder) anfertigen.

Zu den Bild- und Tonaufnahmen gehören beispielsweise:

• Aufzeichnungen im Rahmen der medizinischen Untersuchung und therapeutischen Behandlung (z.B. Fotos, Röntgenbilder);
• Aufzeichnungen von Telefon- und Videokonferenzgesprächen;
• Fotos, Videos und Tonaufnahmen von Kund:innenanlässen und öffentlichen Anlässen;

5. Woher stammen die Personendaten?

5.1 Überlassene Daten

Personendaten gibst du uns häufig selbst bekannt (z.B., wenn du uns Daten übermittelst oder mit uns kommunizierst).

Insbesondere Stamm-, Vertrags- und Kommunikationsdaten gibst du uns meist selbst bekannt. Auch Präferenzdaten gibst du uns häufig selbst bekannt.

Wenn du uns Daten über andere Personen (z.B. Familienmitglieder) übermittelst, gehen wir davon aus, dass du dazu befugt bist und diese Daten richtig sind. Bitte stell auch sicher, dass diese anderen Personen über diese Datenschutzerklärung informiert wurden.

5.2 Erhobene Daten

Wir können Personendaten über dich auch selbst oder automatisiert erheben (z.B., wenn du unsere Dienstleistungen in Anspruch nimmst oder unsere Angebote nutzt). Es handelt sich dabei häufig um Verhaltens- und Transaktionsdaten sowie technische Daten.

Wir können Personendaten auch aus bereits vorhandenen Personendaten ableiten (z.B. durch Auswertung von Verhaltens- und Transaktionsdaten). Bei solchen abgeleiteten Personendaten handelt es sich häufig um Präferenzdaten oder im Fall von medizinischen Untersuchungen um Stammdaten.

Fachpersonen können aus der Analyse von Daten aus Untersuchungen von dir ebenfalls weitere Personendaten ableiten (z.B. Laborwerte, Diagnosen).

Personendaten können wir auch von anderen Unternehmen der Cada-Gruppe erhalten (s. Ziff. 8). Wir können aber auch von anderen Dritten Angaben über dich erhalten (z.B. von Unternehmen, mit denen wir zusammenarbeiten, von Personen, die mit uns kommunizieren, oder aus öffentlichen Quellen).

Wir können beispielsweise von folgenden Dritten Angaben über dich erhalten:

• von ärztlichen Praxen;
• von Koordinationspartner:innen;
• von Dienstleister:innen (z.B. medizinische Labore, die Proben auswerten);
• von Arbeitgebenden und Arbeitskolleg:innen im Zusammenhang mit einer Stellenbewerbung und deinen früheren beruflichen Funktionen (z.B. Referenzauskünfte);
• von Dritten, wenn Korrespondenz und Besprechung dich betreffen;
• von Personen aus deinem Umfeld (z.B. Familienangehörige, Rechtsvertreter:innen);
• von Wirtschaftsauskunfteien (z.B. Bonitätsauskünfte);
• von der schweizerischen Post und von Adresshändler:innen (z.B. für Adressaktualisierungen);
• von Banken, Versicherungen, Vertriebs- und anderen Vertragspartner:innen bei Käufen und Zahlungen;
• von Anbietenden von Online-Diensten (z.B. Anbietende von Internet-Analysediensten);
• von Behörden, Parteien und anderen Dritten im Zusammenhang mit behördlichen oder gerichtlichen Verfahren;
• aus öffentlichen Registern (z.B. Betreibungs-, Handels- und Strafregister), von öffentlichen Stellen (z.B. Bundesamt für Statistik), aus den Medien oder aus dem Internet.

6. Für welche Zwecke bearbeiten wir Personendaten?

6.1 Kommunikation

Wir bearbeiten Personendaten für die Kommunikation mit dir. Dazu verwenden wir insbesondere Kommunikations- und Stammdaten und, soweit die Kommunikation einen Vertrag betrifft, auch Vertragsdaten. Wir können den Inhalt und den Versandzeitpunkt von Nachrichten auch auf Basis von Verhaltens-, Transaktions- und Präferenzdaten und anderen Daten personalisieren.

Der Zweck der Kommunikation umfasst beispielsweise:

• Terminvereinbarungen;
• Beantwortung von Anfragen;
• Kontaktaufnehme bei Fragen;
• Authentifizierungen;
• Alle anderen Bearbeitungszwecke, soweit wir dafür mit dir kommunizieren (z.B. Vertragsabwicklung, Direktwerbung).

6.2 Vertragsabwicklung

Wir bearbeiten Personendaten im Zusammenhang mit der Anbahnung, Verwaltung und Abwicklung von Vertragsbeziehungen (z.B. um medizinische, therapeutische oder diagnostische Leistungen zu erbringen oder einen Wettbewerb oder ein Gewinnspiel zu veranstalten). Die Vertragsabwicklung umfasst auch eine ggf. vereinbarte Personalisierung von Leistungen. Wir verwenden dazu insbesondere Stammdaten, Vertragsdaten, Kommunikationsdaten, Verhaltens- und Transaktionsdaten sowie Präferenzdaten.

Der Zweck der Vertragsabwicklung umfasst grundsätzlich alles, was erforderlich oder zweckmässig ist, um einen Vertrag abzuschliessen, durchzuführen und ggf. durchzusetzen. Dies kann auch den Beizug von anderen Unternehmen der Cada-Gruppe und/oder von Dritten (z.B. Lieferdienste, medizinische Laboratorien, ärztliche Praxen) umfassen.

Der Zweck der Vertragsabwicklung umfasst beispielsweise:

• Bereitstellung von Leistungen;
• Erbringung der vertraglich vereinbarten Leistung;
• Entscheidung ob und wie (z.B. mit welchen Zahlungsmöglichketen) wir einen Vertrag mit dir eingehen (einschliesslich Bonitätsprüfung);
• Einholung von Kostengutsprachen (z.B. bei Krankenkassen);
• Abrechnung von Leistungen (und ggf. Erstellung von Rückforderungsbelegen für die Krankenkasse) und generell Buchführung;
• Eignungsprüfung von Stellenbewerber:innen und ggf. Abschluss von Arbeitsverträgen;
• Vorbereitung und Abwicklung von gesellschaftsrechtlichen Transaktionen (z.B. Unternehmenskäufe, -verkäufe, -zusammenschlüsse);
• Verwaltung und Bewirtschaftung von IT-Infrastrukturen und anderen Ressourcen;
• Durchsetzung von Rechtsansprüchen aus Verträgen (z.B. Inkasso, Gerichtsverfahren);
• Erfüllung von Aufbewahrungspflichten;
• Kündigung und Beendigung von Verträgen.

6.3 Information und Marketing

Wir bearbeiten Personendaten zur Beziehungspflege und für Marketingzwecke (z.B. schriftliche und elektronische Zustellung von Mitteilungen und Angebote, Durchführung von Marketingaktionen). Dabei kann es sich um unsere eigenen Angebote handeln oder um Angebote anderer Unternehmen der Cada-Gruppe oder um solche von Werbepartner:innen. Mitteilungen und Angebote können jeweils auch personalisiert werden, um dir möglichst nur Informationen zu übermitteln, die für dich voraussichtlich interessant sind. Hierzu verwenden wir insbesondere Stamm-, Vertrags-, Kommunikations-, Verhaltens- und Transaktionsdaten sowie Präferenzdaten.

Der Zweck von Information und Marketing umfasst beispielsweise:

• Newsletter, Werbe-E-Mails, In-App-Nachrichten und andere elektronische Nachrichten;
• Online Ads und Social Media Marketing;
• Werbebroschüren, Magazine und andere Drucksachen;
• Anzeige von für dich vermutlich relevanten Fachartikeln;
• Einladungen zu Anlässen, Wettbewerben und Gewinnspielen.

Du hast jederzeit die Möglichkeit, Kontaktaufnahmen für Marketingzwecke abzulehnen (s. Ziff. 15). Bei Newslettern und anderen elektronischen Mitteilungen kannst du dich meist über einen in der Mitteilung integrierten Abmeldelink vom entsprechenden Service abmelden.

Die Personalisierung unserer Mitteilungen ermöglicht uns, Informationen auf deine individuellen Bedürfnisse und Interessen auszurichten und dir möglichst nur Angebote zu unterbreiten, die für dich relevant sind. Beispielsweise zeigen wir dir auf dich zugeschnittene Online-Inhalte.

6.4 Qualitätssicherung, Marktforschung und Produktentwicklung

Wir bearbeiten Personendaten zum Zweck der Qualitätssicherung, Marktforschung und Produktentwicklung.   Dazu bearbeiten wir insbesondere Stamm-, Gesundheits-, Verhaltens-, Transaktions- und Präferenzdaten, aber auch Kommunikationsdaten und Angaben aus Patient:innenbefragungen, Umfragen und Studien und weitere Angaben (z.B. aus den Medien, dem Internet und anderen öffentlichen Quellen). Soweit möglich, verwenden wir für diese Zwecke pseudonymisierte oder anonymisierte Angaben.

Der Zweck der Qualitätssicherung, Marktforschung und Produktentwicklung umfasst beispielsweise:

• Auswertung von pseudonymisierten oder anonymisierten Gesundheitsdaten (d.h. keine Rückschlüsse auf Personen möglich);

• Durchführung von Patient:innenbefragungen, Umfragen und Studien;

• Weiterentwicklung unserer Angebote (z.B. Standortwahl, Preisgestaltung);

• Optimierung und Verbesserung der Nutzer:innenfreundlichkeit unserer Webseiten und Apps;

• Entwicklung und Test neuer Angebote;

• Prüfung und Verbesserung interner Abläufe;

• Aus- und Weiterbildung sowie Schulung unserer Mitarbeitenden;

• statistische Auswertungen (z.B., um auf nicht-personenbezogener Basis Informationen über Interaktionen unserer Patient:innen mit uns auszuwerten);

• Einschätzung der Angebotssituation auf einem bestimmten Markt und das Verhalten unserer Mitbewerber:innen;

• Marktbeobachtung (z.B., um aktuelle Entwicklungen und Trends zu verstehen und auf solche zu reagieren).

6.5 Sicherheit und Prävention

Wir bearbeiten Personendaten zu Sicherheitszwecken, zur Gewährleistung der IT-Sicherheit, zur Diebstahls-, Betrugs- und Missbrauchsprävention und zu Beweiszwecken. Dies kann alle in Ziffer 4 genannten Personendatenkategorien betreffen, insbesondere auch Verhaltens- und Transaktionsdaten sowie Bild- und Tonaufnahmen. Diese Daten können wir für die genannten Zwecke erfassen, auswerten und speichern.

Der Zweck der Sicherheit und Prävention umfasst beispielsweise:

• Anfertigung und Auswertung (manuell oder automatisch) von Videoaufzeichnungen zur Erkennung und Verfolgung von strafbaren Handlungen;

• Aussprechen von Hausverboten und Administration von Hausverbotslisten;

• Analyse von Verhaltens- und Transaktionsdaten zwecks Erkennung von verdächtigen Verhaltensmustern und betrügerischen Aktivitäten;

• Auswertung von systemseitigen Aufzeichnungen der Nutzung unserer Systeme (Log-Daten);

• Vorbeugung, Abwehr und Aufklärung von Cyberangriffen und Malware-Attacken;

• Analysen und Tests unserer Netzwerke und IT-Infrastrukturen sowie System- und Fehlerprüfungen;

• Kontrolle der Zugänge zu elektronischen Systemen (z.B. Logins der Benutzer:innenkonten);

• physische Zugangskontrollen (z.B. Zutritt zu Büroräumlichkeiten);

• Dokumentationszwecke und Anlegen von Sicherheitskopien.

6.6. Einhaltung rechtlicher Anforderungen

Wir bearbeiten Personendaten, um rechtliche Pflichten einzuhalten und um Verstösse zu verhindern und aufzudecken. Dazu gehören z.B. die Entgegennahme und Bearbeitung von Beschwerden und anderen Meldungen, die Einhaltung von Anordnungen eines Gerichts oder einer Behörde sowie Massnahmen zur Aufdeckung und Abklärung von Missbräuchen. Dies kann alle in Ziffer 4 genannten Personendatenkategorien betreffen.

Der Zweck der Einhaltung rechtlicher Anforderungen umfasst beispielsweise:

• Administration und Aufbewahrung von Krankengeschichten bzw. Patient:innendossiers;

• persönliche Aufklärung (Diagnose-, Verlaufs-, Risiko- und wirtschaftliche Aufklärung) über medizinische Behandlungen und Heilmittel;

• Vornahme gesetzlich vorgeschriebener Behördenmeldungen (z.B. von bestimmten Krankheiten, Berichterstattungen im Zusammenhang mit Fortpflanzungsverfahren);

• Durchführung von Gesundheits- und Schutzkonzepten;

• Abklärungen über Geschäftspartner:innen;

• Entgegennahme und Bearbeitung von Beschwerden und andere Meldungen;

• Durchführung von internen Untersuchungen;

• Sicherstellung der Compliance und des Risikomanagements;

• Offenlegung von Informationen und Unterlagen gegenüber Behörden (sofern wir dazu rechtlich verpflichtet oder berechtigt sind);

• Mitwirkung bei externen Untersuchungen (z.B. durch die Strafverfolgungs- oder Aufsichtsbehörden);

• Gewährleistung der rechtlich gebotenen Datensicherheit;

• Betreuung unserer Aktionär:innen und sonstigen Anleger:innen zur Erfüllung unserer diesbezüglichen Pflichten;

• Erfüllung von Auskunfts-, Informations- oder Meldepflichten (z.B. im Zusammenhang mit aufsichts-, medizinalberufe-, steuer- und/oder strafrechtlichen Pflichten).

In allen Fällen kann es sich um Schweizer Recht, aber auch ausländische Bestimmungen handeln, denen wir unterstehen, ebenso Selbstregulierungen, Branchen- und andere Standards, die eigene «Corporate Governance» oder behördliche Anweisungen.

6.7 Rechtwahrung

Wir bearbeiten Personendaten zur Rechtswahrung (z.B., um Ansprüche gerichtlich, vor- oder aussergerichtlich und vor Behörden im In- und Ausland durchzusetzen oder uns gegen Ansprüche zu verteidigen). Dabei bearbeiten wir je nach Konstellation unterschiedliche Personendaten, z.B. Kontaktdaten sowie Angaben über Abläufe, die zu einer Auseinandersetzung Anlass gegeben haben oder geben könnten.

Der Zweck der Rechtswahrung umfasst beispielsweise:

• Abklärung und Durchsetzung unserer Ansprüche (dazu können auch Ansprüche mit uns verbundener Unternehmen und unserer Geschäftsparnter:innen gehören);

• Abwehr von Ansprüchen gegen uns, unsere Mitarbeitenden, mit uns verbundene Unternehmen und Geschäftspartner:innen;

• Abklärung von Prozessaussichten und andere rechtliche, wirtschaftliche oder sonstige Fragen;

• Teilnahme an Verfahren vor Gerichten und Behörden im In- und Ausland.

6.8 Gruppeninterne Administration und Unterstützung

Wir bearbeiten Personendaten für unsere gruppeninterne Administration. Dazu bearbeiten wir insbesondere Stammdaten, Vertragsdaten und technische Daten, aber auch Verhaltens- und Transaktionsdaten sowie Kommunikationsdaten.

Wir können Personendaten auch anderen Unternehmen der Cada-Gruppe bekanntgeben, um ihre eigenen Bearbeitungszwecke nach dieser Datenschutzerklärung im Gesamtinteresse der Cada-Gruppe zu unterstützen (s. Ziff. 8).

Der Zweck der gruppeninternen Administration umfasst beispielsweise:

• Verwaltung der IT-Infrastruktur;

• Buchhaltung;

• Archivierung von Daten und Bewirtschaftung der Archive;

• zentrale Speicherung und Bewirtschaftung von Daten, die von mehreren Unternehmen der Cada-Gruppe verwendet werden;

• Prüfung und Durchführung von gesellschaftsrechtlichen Transaktionen (z.B. Unternehmenskäufe, -verkäufe, -zusammenschlüsse);

• Weiterleitung von Anfragen an die zuständige Stelle (z.B. wenn du eine Anfrage an ein Cada-Unternehmen richtest, die ein anderes Cada-Unternehmen betrifft);

• Verkauf von Forderungen, bei dem wir den Erwerbenden beispielsweise Informationen über den Grund und die Höhe der Forderung und ggf. die Bonität und das Verhalten der Schudner:innen übermitteln;

• generelle Prüfung und Verbesserung interner Abläufe.

7. Wem geben wir Personendaten weiter?

7.1 Innerhalb der Cada-Gruppe

Wir gewähren unseren Mitarbeitenden nur Zugriff auf deine Personendaten, wenn dies für die Tätigkeit der betreffenden Mitarbeitenden erforderlich ist. Dazu können auch Mitarbeitende in anderen Abteilungen, an anderen Standorten und in Supportbereichen (z.B. IT, HR) gehören. Unsere Mitarbeitenden sind im Umgang mit deinen Personendaten zur Vertraulichkeit verpflichtet.

Wir können Personendaten, die wir von dir oder aus Drittquellen erhalten, an andere Unternehmen der Cada-Gruppe weitergeben. Dies ist in der internen Organisation der Cada-Gruppe begründet und erlaubt uns insbesondere, eine einheitliche und hochwertige Betreuung der Patient:innen sicherzustellen, Stellvertretungen zu gewährleisten, sowie zentrale Funktionen übergreifend sicherzustellen.

Wie jeder Verbund von Unternehmen hat auch die Cada-Gruppe ein Gesamtinteresse an der erfolgreichen Geschäftstätigkeit der Gruppenunternehmen, und unsere Gruppenunternehmen haben ihrerseits ein Interesse an der eigenen Tätigkeit und den eigenen Bearbeitungszwecken (s. Ziff. 6). Um diese Tätigkeiten und Zwecke zu unterstützen, können die dafür erforderlichen Personendaten an Gruppenunternehmen bekanntgegeben und von diesen ggf. ergänzt oder mit vorhandenen Personendaten abgeglichen und verknüpft werden.

Dabei kann es sich beispielsweise um folgende Datenbekanntgaben handeln:

• Alle in Ziffer 4 genannten Personendatenkategorien für die Verwaltung und Abwicklung von Vertragsbeziehungen (z.B. Ergänzung der zentral geführten Krankengeschichte (bzw. des Patient:innendossiers) mit relevanten Angaben aus anderen Praxen oder Kliniken) - dadurch wird insbesondere ermöglicht, dass deine Krankengeschichte (bzw. dein Patient:innendossier), die in einer unserer Praxen erfasst worden ist, im Rahmen deiner Behandlung auch dann sofort zur Verfügung steht, wenn du dich in einer anderen Praxis oder in einer Klinik behandeln lässt;

• Stammdaten, Vertragsdaten, Gesundheitsdaten, Kommunikationsdaten, Verhaltens- und Transaktionsdaten sowie Präferenzdaten, ebenso wie Erkenntnisse aus Patient:innenbefragungen, Umfragen, Studien sowie Bild- und Tonaufnahmen für die Produktentwicklung und Marktforschung, soweit ein Personenbezug solcher Daten erforderlich ist;

• Stammdaten, Vertragsdaten, Kommunikationsdaten, technische Daten, Verhaltens- und Transaktionsdaten, Präferenzdaten sowie Bild- und Tonaufnahmen für die Zustellung und Personalisierung von Angeboten, Kommunikation und Marketingaktivitäten;

• Stammdaten, Vertragsdaten, Kommunikationsdaten, technische Daten, Verhaltens- und Transaktionsdaten sowie Präferenzdaten für die Betrugs- und Missbrauchsprävention sowie für Bonitätsprüfungen (z.B. im Zusammenhang mit Erbringung einer Dienstleistung auf Rechnung);

• Stammdaten, Vertragsdaten, Kommunikationsdaten, technische Daten, Verhaltens- und Transaktionsdaten sowie Bild- und Tonaufnahmen für die Diebstahlsprävention und für Beweiszwecke;

• Sicherheitsrelevante Angaben für Sicherheitszwecke und die Einhaltung rechtlicher Anforderungen;

• Angaben zur Unterstützung bei der Rechtswahrung.

7.2 Ausserhalb der Cada-Gruppe

Wir können deine Personendaten ferner an Unternehmen ausserhalb der Cada-Gruppe weitergeben, wenn wir deren Dienstleistungen in Anspruch nehmen. I.d.R. bearbeiten diese Dienstleistenden Personendaten in unserem Auftrag als sog. «Auftragsbearbeitende». Bestimmte Dienstleistende sind auch gemeinsam mit uns oder selbständig verantwortlich (z.B. Inkassounternehmen). Wir stellen durch die Auswahl der Dienstleistenden und durch geeignete vertragliche Vereinbarungen sicher, dass der Datenschutz während der gesamten Bearbeitung deiner Personendaten sichergestellt ist.

Dabei geht es beispielsweise um Dienstleistungen in folgenden Bereichen:

• Medizinische Dienstleistungen (z.B. Laborbefunde, gerätemedizinische Analysen);

• Werbe- und Marketingdienstleistungen (z.B. Versand von Mitteilungen);

• Unternehmensverwaltung (z.B. Buchhaltung und Bewirtschaftung von Vermögenswerten);

• Zahlungsdienste;

• Spedition und Logistik;

• Bonitätsinformationen;

• Inkassodienstleistungen;

• IT-Dienstleistungen (z.B. Hosting, Cloud-Dienste, Versand von E-Mail-Newslettern);

• Beratungsdienstleistungen (z.B. Leistungen von Steuerberatenden, Rechtsanwält:innen, Unternehmensberater:innen).

In Einzelfällen ist es zudem möglich, dass wir Personendaten an andere Dritte zu deren eigenen Zwecken weitergeben, z.B. wenn du uns deine Einwilligung gegeben hast oder wenn wir zu einer Weitergabe gesetzlich verpflichtet oder berechtigt sind. In diesen Fällen sind die Empfänger:innen der Daten datenschutzrechtlich eigene Verantwortliche.

Dabei geht es beispielsweise um folgende Fallkonstellationen:

• Überweisungen an Spitäler oder andere Spezialist:innen;

• Mitteilung von Angaben über deinen Gesundheitszustand an deine Angehörigen (vorbehalten bleibt das ärztliche Berufsgeheimnis);

• Mitteilungen an Krankenkassen (z.B. zwecks Kostengutsprachen);

• Weitergabe anonymisierter oder pseudonymisierter Gesundheitsdaten an Bildungseinrichtungen zur Verwendung in wissenschaftlichen Studien;

• Übertragung von Forderungen an andere Unternehmen (z.B. Inkassounternehmen);

• Prüfung und Durchführung von gesellschaftsrechtlichen Transaktionen (z.B. Unternehmenskäufe, -verkäufe, -zusammenschlüsse);

• Offenlegung von Personendaten bei Gerichten und Behörden in der Schweiz und im Ausland (z.B. Strafverfolgungsbehörden),

• Bearbeitung von Personendaten, um gerichtlichen Verfügungen nachzukommen oder Rechtsansprüche geltend zu machen bzw. abzuwehren. Dabei können wir Personendaten auch anderen Verfahrensbeteiligten bekanntgeben.

Bitte beachte auch unsere Cookie-Richtlinie zur selbständigen Datenerhebung durch Drittanbietende, deren Tools wir auf unseren Webseiten und Apps eingebunden haben.

Selbstverständlich befolgen wir die Vorschriften des ärztlichen Berufsgeheimnisses, soweit wir diesem unterstehen. In solchen Fällen geben wir die betreffenden Daten (z.B. deine Gesundheitsdaten) nur entsprechend den Vorgaben des Berufsgeheimnisses weiter.

Falls du uns im Rahmen unserer beruflichen Tätigkeiten Informationen über dich oder andere anvertrauen willst, welche wir anders als in dieser Ziffer aufgeführt behandeln sollten oder die einer besonderen Vertraulichkeit unterliegen sollten und nicht schon unter das ärztliche Berufsgeheimnis fallen, informiere uns bitte vorgängig, damit wir dieses Anliegen prüfen und ggf. die nötigen Sicherheitsmassnahmen treffen können.

8. Wie geben wir Personendaten ins Ausland bekannt?

Die in Ziffer 7 genannten Empfänger:innen deiner Personendaten können sich jeweils unter Umständen auch im Ausland befinden, in der Regel innerhalb des Europäischen Wirtschaftsraumes (EWR), in Ausnahmefällen aber auch in jedem Land der Welt. Die betreffenden Länder verfügen möglicherweise nicht über Gesetze, die deine Personendaten im gleichen Umfang wie in der Schweiz oder im EWR schützen. Sofern wir deine Personendaten in einen solchen Staat übermitteln, stellen wir den Schutz deiner Personendaten in angemessener Weise sicher..

Ein Mittel zur Sicherstellung eines angemessenen Datenschutzes ist z.B. der Abschluss von Datenübermittlungsverträgen mit den Empfänger:innen deiner Personendaten in Drittstaaten, die den erforderlichen Datenschutz sicherstellen. Dazu gehören Verträge, die von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigt, ausgestellt oder anerkannt wurden, sogenannte Standardvertragsklauseln. Bitte beachte, dass solche vertraglichen Vorkehrungen einen schwächeren oder fehlenden gesetzlichen Schutz teilweise ausgleichen, aber nicht alle Risiken vollständig ausschliessen können (z.B. von staatlichen Zugriffen im Ausland). In Ausnahmefällen kann die Übermittlung in Länder ohne angemessenen Schutz auch in anderen Fällen zulässig sein, namentlich gestützt auf eine Einwilligung, im Zusammenhang mit einem Rechtsverfahren im Ausland, wenn die Übermittlung für die Abwicklung eines Vertrags erforderlich ist.

Für die Bearbeitung und Speicherung von Gesundheitsdaten setzen wir nur IT-Dienstleistende mit Datenstandort innerhalb des EWR ein.

9. Wie schützen wir Personendaten?

Wir treffen angemessene Sicherheitsmassnahmen technischer und organisatorischer Natur, um die Sicherheit deiner Personendaten zu wahren, um sie gegen unberechtigte oder unrechtmässige Bearbeitungen zu schützen und der Gefahr des Verlusts, einer unbeabsichtigten Veränderung, einer ungewollten Offenlegung oder eines unberechtigten Zugriffs entgegenzuwirken. Zu den Sicherheitsmassnahmen technischer Natur gehören beispielsweise die Verschlüsselung und Pseudonymisierung von Daten, Protokollierungen, Zugriffsbeschränkungen und die Speicherung von Sicherheitskopien. Sicherheitsmassnahmen organisatorischer Natur umfassen beispielsweise. Weisungen an unsere Mitarbeitenden, Vertraulichkeitsvereinbarungen und Kontrollen. Wir verpflichten auch unsere Auftragsbearbeitenden dazu, angemessene technische und organisatorische Sicherheitsmassnahmen zu treffen.

Wie alle Unternehmen können wir Datensicherheitsverletzungen aber nicht mit letzter Sicherheit ausschliessen; gewisse Restrisiken sind unvermeidbar.

10. Wie lange bearbeiten wir Personendaten?

Wir bearbeiten und speichern deine Personendaten so lange,

• es für den Zweck der Bearbeitung erforderlich ist, bei Verträgen in der Regel mindestens für die Dauer der Vertragsbeziehung;

• wir ein berechtigtes Interesse an der Bearbeitung/Speicherung haben, was insbesondere dann der Fall sein kann, wenn wir Personendaten benötigen, um Ansprüche durchzusetzen oder abzuwehren, zu Archivierungszwecken und zur Gewährleistung der IT-Sicherheit;

• sie einer gesetzlichen Aufbewahrungspflicht unterliegen.

In bestimmten Fällen bitten wir dich zudem um deine Einwilligung, wenn wir Personendaten länger speichern wollen (z.B. bei Stellenbewerbungen, die wir pendent halten möchten).

Nach Ablauf der genannten Fristen löschen oder anonymisieren wir deine Personendaten.

Wir orientieren uns beispielsweise an folgenden Aufbewahrungsfristen, wobei wir im Einzelfall aber davon abweichen können:

• Stamm- und Vertragsdaten: Stamm- und Vertragsdaten bewahren wir i.d.R. während zehn (10) Jahren ab der letzten Vertragsaktivität bzw. ab Vertragsende auf. Diese Frist kann jedoch länger sein, soweit dies aus Beweisgründen, aufgrund von gesetzlichen oder vertraglichen Vorgaben oder technisch bedingt notwendig ist. Transaktionsdaten im Zusammenhang mit Verträgen werden i.d.R. während zehn (10) Jahren aufbewahrt.

• Gesundheitsdaten: Gesundheitsdaten (z.B. Krankenakte bzw. Patient:innendossier) bewahren wir während zwanzig (20) Jahren ab der letzten medizinischen, therapeutischen und diagnostischen Leistung bzw. ab Ende der Behandlung auf.

• Technische Daten: Log-Daten bewahren wir i.d.R. für sechs (6) Monate auf. Die Speicherdauer von Cookies beträgt meist zwischen wenigen Tagen und zwei (2) Jahren, sofern sie nicht unmittelbar nach Ende der Session gelöscht werden.

• Kommunikationsdaten: E-Mails, Mitteilungen via Kontaktformular und schriftliche Korrespondenzen werden i.d.R. während zehn (10) Jahren aufbewahrt.

• Bild- und Tonaufnahmen: Die Aufbewahrungsdauer ist je nach Zweck unterschiedlich. Das reicht von einigen Tagen bei Aufzeichnungen von Sicherheitskameras bis hin zu mehreren Jahren bei Berichten über Anlässe mit Bildern.

• Stellenbewerbungen: Bewerbungsdaten löschen wir i.d.R. innerhalb von sechs (6) Monaten nach Abschluss des Bewerbungsprozesses. Mit deinem Einverständnis halten wir deine Bewerbung im Hinblick auf eine allfällige spätere Anstellung ggf. pendent.

11. Welche Rechte bestehen im Zusammenhang mit der Bearbeitung der Personendaten?

Das anwendbare Datenschutzrecht gewährt dir unter bestimmten Umständen das Recht, der Bearbeitung deiner Daten zu widersprechen, insbesondere jener für Zwecke des Direktmarketings (z.B. Werbe-E-Mails).

Soweit die jeweils anwendbaren Voraussetzungen erfüllt und keine gesetzlichen Ausnahmen anwendbar sind, hast du zudem folgende Rechte:

• das Recht, von uns Auskunft zu verlangen, ob und welche Daten wir von dir bearbeiten;

• das Recht, unrichtige Personendaten korrigieren zu lassen;

• das Recht, die Löschung deiner Personendaten zu verlangen;

• das Recht, von uns die Herausgabe bestimmter Personendaten in einem gängigen elektronischen Format oder ihre Übertragung an andere Verantwortliche zu verlangen;

• das Recht, eine Einwilligung mit Wirkung für die Zukunft zu widerrufen, soweit eine Bearbeitung auf einer Einwilligung beruht;

• das Recht, auf Nachfrage weitere Informationen zu erhalten, die für die Ausübung dieser Rechte hilfreich sind.

Bitte beachte, dass diese Rechte im Einzelfall ggf. eingeschränkt oder ausgeschlossen sein können (z.B., wenn Zweifel an der Identität bestehen oder dies zum Schutz anderer Personen, zur Wahrung von schutzwürdigen Interessen oder zur Einhaltung gesetzlicher Verpflichtungen erforderlich ist).

Du kannst uns gemäss Ziffer 12 kontaktieren, wenn du eines deiner Rechte ausüben willst oder wenn du Fragen zur Bearbeitung deiner Personendaten hast.

Es steht dir auch frei, bei einer zuständigen Aufsichtsbehörde Beschwerde einzureichen, wenn du Bedenken hast, ob die Bearbeitung deiner Personendaten rechtskonform ist. Damit wir versuchen können, dein Anliegen direkt zu lösen, bitten wir dich vor der Einreichung einer Beschwerde mit uns Kontakt aufzunehmen.

• Zuständige Aufsichtsbehörde in der Schweiz ist der Eidgenössische Datenschutz- und Öffentlichkeitsbeauftragte (EDÖB).

• Zuständige Aufsichtsbehörde im Fürstentum Liechtenstein ist die Datenschutzstelle des Fürstentums Liechtenstein.

12. Wie können wir kontaktiert werden?

Bei Fragen zu dieser Datenschutzerklärung oder zur Bearbeitung deiner Personendaten kannst du das jeweils verantwortliche Unternehmen unter den auf seiner Webseite aufgeführten Kontaktangaben kontaktieren.

Du kannst uns jeweils auch gerne wie folgt kontaktieren:

Cada Fertility AG

Neuwiesenstrasse 15

CH-8400 Winterthur

[email protected]

13. Änderungen der Datenschutzerklärung

Wir können diese Datenschutzerklärung jederzeit ändern. Neue Versionen treten für dich in Kraft, sobald wir diese durch Publikation auf unserer Website mitgeteilt haben. Generell gilt für Datenbearbeitungen jeweils die Datenschutzerklärung in der aktuellen Fassung.