Version 1.1
Data: 01.03.2026 
Dokument: Datenschutzhinweis (Data Protection Policy)

Zweck und Geltungsbereich

Gehri Rivestimenti SA, nachfolgend als „Organisation“ bezeichnet, verpflichtet sich zur Einhaltung der anwendbaren Gesetze und Vorschriften zum Schutz personenbezogener Daten in den Ländern, in denen sie tätig ist, in diesem Fall des schweizerischen nDSG.

Diese Richtlinie legt die grundlegenden Prinzipien fest, nach denen die Organisation personenbezogene Daten von Kunden, Lieferanten, Geschäftspartnern, Mitarbeitenden und anderen Personen bearbeitet, und beschreibt die Verantwortlichkeiten ihrer Stellen und Mitarbeitenden bei der Bearbeitung personenbezogener Daten.

Die Grundsätze des nDSG

Die Datenschutzgrundsätze umschreiben die grundlegenden Verantwortlichkeiten (Accountability) von Organisationen, die personenbezogene Daten bearbeiten. “Der Verantwortliche ist für die Einhaltung dieser Grundsätze zuständig und muss die Konformität seiner Bearbeitungen mit diesen Grundsätzen nachweisen können.”

Rechtmässigkeit, Fairness und Transparenz

Personenbezogene Daten müssen gegenüber der betroffenen Person rechtmässig, nach Treu und Glauben und transparent bearbeitet werden.

Zweckbindung

Personenbezogene Daten müssen für festgelegte, eindeutige und rechtmässige Zwecke erhoben werden und dürfen nicht in einer mit diesen Zwecken unvereinbaren Weise weiterbearbeitet werden.

Datenminimierung

Personenbezogene Daten müssen dem Zweck angemessen, erheblich sowie auf das für die Zwecke ihrer Bearbeitung notwendige Mass beschränkt sein. Wenn möglich, soll die Organisation zur Reduzierung der Risiken für die betroffenen Personen eine Anonymisierung oder Pseudonymisierung personenbezogener Daten anwenden.

Richtigkeit

Personenbezogene Daten müssen sachlich richtig und erforderlichenfalls auf dem neuesten Stand sein; es sind angemessene Massnahmen zu treffen, damit unrichtige personenbezogene Daten in Bezug auf die Zwecke ihrer Bearbeitung unverzüglich gelöscht oder berichtigt werden.

Begrenzung der Aufbewahrungsdauer

Personenbezogene Daten dürfen nicht länger aufbewahrt werden, als es für die Zwecke, für die sie bearbeitet werden, erforderlich ist.

Integrität und Vertraulichkeit

Unter Berücksichtigung des Stands der Technik und anderer verfügbarer Sicherheitsmassnahmen, der Implementierungskosten sowie der Eintrittswahrscheinlichkeit und Schwere der Risiken für personenbezogene Daten muss die Organisation geeignete technische oder organisatorische Massnahmen einsetzen, um personenbezogene Daten so zu bearbeiten, dass eine angemessene Sicherheit gewährleistet ist, einschliesslich des Schutzes vor unbefugter oder widerrechtlicher Bearbeitung sowie vor unbeabsichtigtem Verlust, unbeabsichtigter Zerstörung oder unbeabsichtigter Beschädigung.

Verantwortung

Der Verantwortliche ist für die Einhaltung dieser Grundsätze zuständig und muss die Konformität seiner Bearbeitungen mit diesen Grundsätzen nachweisen können.

Erhebung

Die Organisation muss bestrebt sein, so wenige personenbezogene Daten wie möglich zu erheben. Werden personenbezogene Daten von einem Dritten erhoben, muss der Verantwortliche sicherstellen, dass die personenbezogenen Daten gesetzeskonform erhoben werden. 

Nutzung, Aufbewahrung und Entsorgung

Die Organisation muss die Richtigkeit, Integrität, Vertraulichkeit und Relevanz personenbezogener Daten entsprechend dem Zweck der Bearbeitung wahren. Es sind geeignete Sicherheitsmechanismen einzusetzen, um personenbezogene Daten davor zu schützen, gestohlen oder missbräuchlich verwendet zu werden, und um Verletzungen des Schutzes personenbezogener Daten zu verhindern. Der Verantwortliche ist für die Einhaltung der in diesem Abschnitt aufgeführten Anforderungen verantwortlich.

Offenlegung gegenüber Dritten

Wann immer die Organisation einen Drittanbieter oder Geschäftspartner einsetzt, um personenbezogene Daten in ihrem Auftrag zu bearbeiten, muss der Verantwortliche sicherstellen, dass diese Partei angemessene Sicherheitsmassnahmen zum Schutz personenbezogener Daten im Hinblick auf die damit verbundenen Risiken gewährleistet. Zu diesem Zweck ist ein entsprechender Compliance-Fragebogen zu verwenden.

Der Lieferant oder Geschäftspartner darf personenbezogene Daten nur zur Erfüllung seiner vertraglichen Verpflichtungen gegenüber der Organisation oder auf deren Weisung hin bearbeiten und nicht zu anderen Zwecken. Wenn die Organisation personenbezogene Daten gemeinsam mit einem unabhängigen Dritten bearbeitet, muss sie die jeweiligen Verantwortlichkeiten ausdrücklich im entsprechenden Vertrag oder in einem anderen rechtlich verbindlichen Dokument festlegen, wie etwa im Auftragsbearbeitungsvertrag des Lieferanten.

Grenzüberschreitende Übermittlung personenbezogener Daten

Vor der Übermittlung personenbezogener Daten aus der Schweizerischen Eidgenossenschaft und dem Europäischen Wirtschaftsraum (EWR) sind geeignete Garantien zu verwenden, einschliesslich des Abschlusses einer Vereinbarung über die Datenübermittlung, wie von der Europäischen Union verlangt, und erforderlichenfalls ist eine Genehmigung der Datenschutzbehörde einzuholen. Die Stelle, die personenbezogene Daten erhält, muss die in der Richtlinie zur grenzüberschreitenden Datenübermittlung festgelegten Grundsätze der Bearbeitung personenbezogener Daten einhalten.

Auskunftsrechte der betroffenen Personen

Wenn die Organisation als Verantwortliche handelt, ist sie verpflichtet, den betroffenen Personen einen angemessenen Zugangsmechanismus bereitzustellen, der ihnen den Zugang zu ihren personenbezogenen Daten ermöglicht, und sie muss ihnen gestatten, ihre personenbezogenen Daten zu aktualisieren, zu berichtigen, zu löschen oder zu übermitteln, soweit dies zutrifft oder gesetzlich vorgeschrieben ist. Der Zugangsmechanismus wird in der Verfahrensanweisung für Auskunftsersuchen betroffener Personen näher beschrieben.

Datenportabilität

Betroffene Personen haben das Recht, auf Anfrage eine Kopie der von ihnen bereitgestellten Daten in einem strukturierten Format zu erhalten und diese Daten kostenlos an einen anderen Verantwortlichen zu übermitteln. Der Verantwortliche ist dafür verantwortlich sicherzustellen, dass solche Anfragen innerhalb eines Monats bearbeitet werden, nicht exzessiv sind und die Rechte anderer Personen an ihren personenbezogenen Daten nicht beeinträchtigen.

Recht auf Vergessenwerden

Auf Antrag hat die betroffene Person das Recht, von der Organisation die Löschung ihrer personenbezogenen Daten zu verlangen. Wenn die Organisation als Verantwortliche handelt, muss der Verantwortliche die erforderlichen Massnahmen (einschliesslich technischer Massnahmen) ergreifen, um Dritte, die diese Daten nutzen oder bearbeiten, darüber zu informieren, dass sie dem Antrag nachkommen müssen.

Organisation und Verantwortung

Die Verantwortung für die Gewährleistung einer angemessenen Bearbeitung personenbezogener Daten liegt bei allen Personen, die innerhalb der Organisation oder in ihrem Auftrag tätig sind und Zugang zu den von ihr bearbeiteten personenbezogenen Daten haben.

Der Verwaltungsrat trifft Entscheidungen und genehmigt die allgemeinen Strategien der Organisation im Bereich des Schutzes personenbezogener Daten.

Datum der letzten Aktualisierung: 01.03.2026