HRIT.ch
RECHTLICHES

Datenschutz.

Diese Erklärung beschreibt, welche Personendaten wir auf hrit.ch und im Rahmen unserer Dienstleistungen bearbeiten, wozu, wie lange und wer Zugriff hat. Sie richtet sich nach dem Schweizer Bundesgesetz über den Datenschutz (revDSG / revFADP) und, soweit anwendbar, der EU-Datenschutz-Grundverordnung (DSGVO).

1 · VERANTWORTLICHE STELLE

Wer ist verantwortlich

Verantwortliche Stelle für die Bearbeitung von Personendaten auf hrit.ch und im Rahmen unserer Dienstleistungen ist:

HRIT.ch GmbH

Ruhsitzweg 12, 9000 St. Gallen
Mail: hallo [at] hrit [dot] ch

Für Auskünfte, Berichtigungen, Löschungen oder andere Anliegen im Datenschutz erreicht ihr uns jederzeit unter der genannten Mailadresse. Aufgrund unserer Grösse haben wir keinen betrieblichen Datenschutzbeauftragten benannt. Ansprechperson für Datenschutzanliegen ist die Geschäftsführung.

2 · GRUNDSATZ

Was wir machen, was nicht

Wir bearbeiten so wenig Personendaten wie möglich, nur für klar umrissene Zwecke, und löschen sie, wenn der Zweck wegfällt. Wir verkaufen Personendaten nicht. Wir bilden keine personenbezogenen Werbe- oder Profilingdaten über Besuche unserer Website. Wir treffen keine automatisierten Einzelentscheidungen mit rechtlicher oder erheblicher Wirkung im Sinne von Art. 21 DSG bzw. Art. 22 DSGVO.

3 · DATEN

Welche Daten wir bearbeiten

Beim Besuch der Website

Beim Aufruf einer Seite werden technisch notwendige Daten verarbeitet: IP-Adresse (gekürzt), Datum und Uhrzeit, aufgerufene URL, Referrer, User-Agent.

Zweck: sicherer Betrieb (Logs, Fehlersuche, Missbrauchsabwehr).
Rechtsgrundlage: berechtigtes Interesse (Art. 31 DSG / Art. 6 Abs. 1 lit. f DSGVO).
Aufbewahrung: Server-Logs maximal 30 Tage, anschliessend Löschung.

Beim Senden des Kontaktformulars

Wir bearbeiten die Angaben aus dem Formular (Name, Firma, Mail, Anfragetext) sowie die IP-Adresse zum Sendezeitpunkt. Wenn ihr die Option «Bestätigungsmail an mich senden» aktiviert, erhaltet ihr eine Kopie eurer Anfrage an die angegebene Mailadresse.

Zweck: Beantwortung eurer Anfrage und allfällige Folgekorrespondenz.
Rechtsgrundlage: vorvertragliche Massnahme (Art. 6 Abs. 1 lit. b DSGVO) bzw. berechtigtes Interesse (Art. 31 DSG / Art. 6 Abs. 1 lit. f DSGVO).
Aufbewahrung: Anfragen bleiben so lange gespeichert, wie es für die Beantwortung und allfällige Folgekorrespondenz nötig ist, maximal 24 Monate ab letztem Kontakt. Danach werden sie gelöscht oder anonymisiert.

Bei Initiativbewerbungen per Mail

Wenn ihr uns eine Bewerbung schickt, bearbeiten wir die übermittelten Angaben (Lebenslauf, Anschreiben, Zeugnisse, Kontaktdaten) ausschliesslich zur Prüfung der Bewerbung.

Zweck: Beurteilung der Bewerbung, vorvertragliche Massnahme.
Rechtsgrundlage: vorvertragliche Massnahme (Art. 6 Abs. 1 lit. b DSGVO) bzw. berechtigtes Interesse.
Aufbewahrung: Bewerbungsunterlagen werden, sofern keine Anstellung erfolgt, spätestens 6 Monate nach Abschluss des Bewerbungsprozesses gelöscht. Eine längere Aufbewahrung in einem Talent-Pool erfolgt nur mit eurer ausdrücklichen Einwilligung.

Im Rahmen von Kundenmandaten

Wenn wir für Kunden Beratungs-, Build-, Interim- oder Wartungsleistungen erbringen und dabei Personendaten von Mitarbeitenden oder Dritten unserer Kunden bearbeiten, agieren wir als Auftragsbearbeiterin im Sinne von Art. 9 DSG bzw. Art. 28 DSGVO. Die Bearbeitung erfolgt ausschliesslich auf dokumentierte Weisung des Kunden im Rahmen eines separaten Auftragsbearbeitungsvertrags (AVV / DPA).

4 · AUFTRAGSBEARBEITER

Wer hat technischen Zugriff

Wir setzen folgende Dienstleister zur Verarbeitung ein. Mit allen bestehen die nötigen Verträge zur Auftragsbearbeitung (AVV / DPA) und die nötigen Garantien für eine angemessene Datenbearbeitung.

  • Hosting der Website
    Die Website läuft auf einer Cloud-Plattform mit Edge-Auslieferung. Hosting-Region: Europa. Logdaten werden auf IP-Ebene gekürzt verarbeitet. Anbieter werden im Verzeichnis der Bearbeitungstätigkeiten geführt und auf Anfrage benannt.
  • Mailversand (Resend)
    Mails aus dem Kontaktformular (Notification an uns, optionale Bestätigung an euch) werden über Resend versendet. Resend speichert die Mail-Metadaten zur Zustellung. Anbieter: Resend, Inc., Sitz in den USA mit EU-Tochter. Die Datenübermittlung in die USA stützt sich auf das EU-US Data Privacy Framework bzw. Schweiz-US Data Privacy Framework sowie ergänzende Standardvertragsklauseln.
  • Statistik (optional, anonymisierend)
    Sofern eingesetzt, nutzen wir einen DSG-konformen, anonymisierenden Tracker (z.B. Plausible mit EU-Hosting), der keine Cookies nutzt und keine personenbezogenen Profile bildet. Wenn dieser Tracker nicht aktiv ist, fallen entsprechend keine Statistikdaten an.
  • KI-Werkzeuge in der Leistungserbringung
    Wir setzen KI-Tools für Code-Generierung, Recherche und Analyse ein. Anbieter sind Anthropic (Sitz USA, mit EU-Datenresidenz-Option) und vergleichbare Dienste. Wir konfigurieren No-Train-Optionen, soweit verfügbar, und vermeiden die Übermittlung personenbezogener oder vertraulicher Kundendaten an diese Dienste, soweit nicht vertraglich abgesichert.
5 · AUSLANDSBEKANNTGABE

Datentransfer ins Ausland

Soweit wir Personendaten an Dienstleister im Ausland übermitteln, erfolgt dies an Länder mit angemessenem Schutzniveau gemäss Liste des Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB).

Für Übermittlungen in die USA stützen wir uns auf:

  • Das Schweiz-US Data Privacy Framework (für CH-Sachverhalte)
  • Das EU-US Data Privacy Framework (für EU-DSGVO-Sachverhalte)
  • Ergänzende Standardvertragsklauseln (SCC) der EU-Kommission
  • Technische und organisatorische Massnahmen zur Verschlüsselung und Datenminimierung
6 · COOKIES

Cookies und ähnliche Technologien

Wir setzen ausschliesslich technisch notwendige Cookies oder gar keine. Konkret können folgende Cookies auftreten:

  • Session-Cookie (Name: variabel, Lebensdauer: Session, Zweck: technische Seitenfunktion)
  • Cookie-Präferenz (falls Cookie-Banner aktiv, Lebensdauer: 12 Monate, Zweck: Speicherung eurer Cookie-Einstellungen)

Wir setzen keine Tracking-Cookies, kein Profiling, kein Werbe-Retargeting. Falls künftig nicht-essenzielle Cookies eingesetzt werden, holen wir vorher eure Einwilligung über einen Cookie-Banner ein. Die Einwilligung könnt ihr jederzeit widerrufen.

7 · EURE RECHTE

Welche Rechte habt ihr

Nach Schweizer DSG (Art. 25 ff.) und DSGVO (Art. 15 ff.), soweit anwendbar, habt ihr das Recht auf:

  • Auskunft über die zu eurer Person bearbeiteten Daten (Art. 25 DSG / Art. 15 DSGVO)
  • Berichtigung unrichtiger oder unvollständiger Daten (Art. 32 DSG / Art. 16 DSGVO)
  • Löschung nicht mehr nötiger Daten (Art. 32 DSG / Art. 17 DSGVO)
  • Einschränkung der Bearbeitung (Art. 18 DSGVO)
  • Datenherausgabe oder -übertragung in einem gängigen Format (Art. 28 DSG / Art. 20 DSGVO)
  • Widerspruch gegen Bearbeitungen auf Basis berechtigter Interessen (Art. 30 DSG / Art. 21 DSGVO)
  • Widerruf einer Einwilligung mit Wirkung für die Zukunft
  • Beschwerde bei der zuständigen Aufsichtsbehörde

Anfragen richtet ihr formlos per Mail an hallo [at] hrit [dot] ch. Zur Identitätsprüfung können wir Rückfragen stellen. Antwort erfolgt grundsätzlich innert 30 Tagen.

Aufsichtsbehörde Schweiz: Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB), Feldeggweg 1, 3003 Bern, www.edoeb.admin.ch.

8 · SICHERHEIT

Technische und organisatorische Massnahmen

Wir treffen angemessene technische und organisatorische Massnahmen zum Schutz der bei uns bearbeiteten Personendaten:

  • Transportverschlüsselung (TLS) für alle Seiten und Formularübermittlungen
  • Verschlüsselung von Daten im Ruhezustand (at rest) bei Hosting- und Mail-Dienstleistern
  • Zugriffskontrolle nach Need-to-Know-Prinzip, individuelle Accounts, Multi-Faktor-Authentisierung
  • Regelmässige Schwachstellen-Prüfung der eingesetzten Komponenten und Updates
  • Vertragliche Verpflichtung der Dienstleister auf gleichwertige Sicherheits- und Datenschutzstandards
  • Sensibilisierung und Schulung der Mitarbeitenden zu Datenschutz und Informationssicherheit
  • Datensicherung mit verschlüsselten Backups und definierten Wiederherstellungszeiten
9 · DATENPANNEN

Vorgehen bei Datenschutzverletzungen

Im Fall einer Datenschutzverletzung mit hohem Risiko für die betroffenen Personen melden wir den Vorfall innert gesetzlicher Frist (Art. 24 DSG: «so rasch als möglich»; Art. 33 DSGVO: 72 Stunden) an den EDÖB bzw. die zuständige EU-Aufsichtsbehörde und benachrichtigen die betroffenen Personen, soweit gesetzlich vorgesehen.

Für Vorfälle im Rahmen unserer Auftragsbearbeitung benachrichtigen wir den Kunden unverzüglich gemäss den Bestimmungen des jeweiligen Auftragsbearbeitungsvertrags.

10 · STAND

Geltungsdatum und Version

Fassung 2026-06-08. Diese Erklärung gilt ab dem Zeitpunkt der Veröffentlichung auf hrit.ch. Bei wesentlichen Änderungen passen wir die Erklärung an und kommunizieren das auf der Startseite. Die jeweils aktuelle Fassung findet ihr auf dieser Seite.