Datenschutzerklärung

1.1 Einführung

Diese Datenschutzerklärung gilt für Gaststätten, Vereine und Organisationen, die die ok-resto- und/oder die okvisit-Lösung nutzen, und für deren Subunternehmen ASTARA SA, welches das Gästeregistrierungssystem anbietet.

Im Folgenden steht «wir» für die Gaststätten, Vereine und Organisationen und für ASTARA SA.

Datenschutz ist Vertrauenssache, und Vertrauen ist uns wichtig. Wir respektieren Ihre Persönlichkeit und Ihre Privatsphäre. Ebenso bemühen wir uns, den Schutz Ihrer persönlichen Daten und deren gesetzeskonforme Bearbeitung zu gewährleisten.

Es ist uns sehr wichtig, Ihre Zustimmung zur Bearbeitung Ihrer persönlichen Daten zu erhalten. Mit dieser Datenschutzerklärung informieren wir Sie umfassend über unsere diesbezüglichen Massnahmen.

Personendaten werden einzig erhoben, um die aktuellen Gesundheitsmassnahmen umzusetzen sowie um das BAG und das Kantonsarztamt im Kampf gegen COVID-19 zu unterstützen. Jede andere Verwendung ist gänzlich ausgeschlossen.

1.2 Wer ist ASTARA SA?

ASTARA SA ist ein Start-up-Unternehmen, an dem junge Informatiker aus der Westschweiz und Unternehmer mit technischem Hintergrund aus dem Kanton Freiburg beteiligt sind. Das Unternehmen ist in der Entwicklung und Vermarktung horizontaler und vertikaler Anwendungen auf der Grundlage fortgeschrittener Digitaltechnologien (namentlich der Technologie zur Speicherung und Übertragung von Informationen sowie der Datenintegrität und - herkunft) tätig, insbesondere in den Bereichen Zugriffskontrolle, Sicherheitsidentifizierung, Nachverfolgung sowie Lösungen und Dienstleistungen.

1.3 Warum ok-resto und ok-visit?

ASTARA SA arbeitet mit zahlreichen Betrieben der Gastronomie- und Eventbranche zusammen. Das Unternehmen bietet Dienstleistungen wie Websites und computergestützte Management-Tools, welche die Betriebe bei ihren täglichen Aufgaben unterstützen. Als der Bundesrat die Wiedereröffnung der Gaststätten (Cafés und Restaurants) und die erneute Bewilligung von Veranstaltungen ankündigte, wollte ASTARA SA seine Kompetenz und seine Erfahrung zur Verfügung stellen, um eine Lösung zu entwickeln, die den Fachleuten dieser Branche bei der Datenerfassung helfen sollte. Ferner wollte das Unternehmen auch den Bürgerinnen und Bürgern eine Lösung für die (freiwillige oder obligatorische) Registrierung anbieten und die Behörden damit im Kampf gegen die herrschende Gesundheitskrise unterstützen.

2.1 Kamera

Die ok-visit-Anwendung erfordert Ihre Zustimmung zur Verwendung der Kamera Ihres Mobiltelefons, wenn Sie einen ok-visit-QR-Code (QR-Code, der in Institutionen mit der ok-visit-Lösung angezeigt wird) scannen möchten. Diese Zustimmung kommt zustande, wenn Sie zum ersten Mal diese QR-Code-Lesefunktion innerhalb der ok-visit-Anwendung nutzen möchten und ein Dialogfeld angezeigt wird, in dem Sie um die Genehmigung zum "Fotografieren und Filmen von Videos" gebeten werden. Es werden keine persönlichen Daten (Foto, Video or Dateien von Ihnen) von ok-visit gespeichert oder übertragen, lediglich der Inhalt des QR-Codes wird innerhalb der Anwendung verwendet. Die Anwendung erfordert keinen Zugriff auf die Fotogalerie, Videogalerie or Dateien des Telefons.

2.2 Standort (Position)

Die Anwendung benötigt Ihre Erlaubnis, um auf den Standort (Position) des mobilen Geräts zuzugreifen, wenn Sie einen QR-Code innerhalb der ok-visit-Anwendung scannen wollen. Diese Zustimmung kommt zustande, wenn Sie zum ersten Mal diese Funktion zum Lesen von QR-Codes innerhalb der ok-visit-Anwendung nutzen möchten und ein Dialogfeld angezeigt wird, in dem Sie um die Erlaubnis gebeten werden, "Sie zu orten". Der Standort wird verwendet, um den Benutzer vor einem möglicherweise vergessenen Ausgang aus einer Institution warnen zu können. Wenn der Benutzer einen QR-Code scannt, wird die Position auf dem mobilen Gerät des Benutzers aufgezeichnet (es wird keine Registrierung auf dem Server durchgeführt). Wenn der Benutzer die Institution verlässt, ohne seinen Austritt zu registrieren, wird eine Benachrichtigung an ihn gesendet, sobald er einen Radius von 200 Metern von der Position beim Eintrittsscan verlässt.

2.3 Push-Benachrichtigung

Die ok-visit-Anwendung erfordert die Verwendung von Push-Benachrichtigungen auf dem Mobiltelefon, wenn die Anwendung zum ersten Mal verwendet wird. Benutzer können während der gesamten Sitzung, in der sie die Anwendung verwenden, Benachrichtigungen erhalten. Push-Benachrichtigungen werden nur gesendet, um den Benutzer daran zu erinnern, nicht zu vergessen, seinen Austritt zu registrieren, wenn er das Lokal verlässt. Die Push-Benachrichtigung wird gesendet, wenn der Benutzer den 200-Meter-Umkreis verlässt, innerhalb dessen der Eingangsscan durchgeführt wurde, ohne den Austritt zu registrieren, oder nach einer Dauer von 2 Stunden ab dem Eingangsscan.

2.4 Body Sensor

Die ok-visit-Applikation benötigt den Einsatz des Bewegungssensors (Physical Activity aus BODY_SENSORS), um jede Bewegung des Gerätes zu erkennen. Im Falle einer Bewegung können wir eine Benachrichtigung an den Benutzer senden, um zu erfahren, ob er sich noch in der Einrichtung befindet. Der Zweck der Erfassung dieser Informationen ist es, zu vermeiden, dass der Besucher beim Verlassen der Einrichtung vergisst, seine Abreise anzukündigen. Die Daten, die sich auf den Bewegungssensor beziehen, werden nicht aufgezeichnet.

3.1 Welche Daten werden gesammelt?

Bei jeder Registrierung erfassen wir die folgenden Daten: Name der Gaststätte, Tischnummer oder Ort, Name, Vorname, Telefonnummer, Wohnort, Ort und Zeit (Ein- und Austritt).

3.2 Wie werden Ihre persönlichen Daten geschützt?

Der gesamte Datenaustausch zwischen Client und Server wird über eine sichere Verbindung (https) verschlüsselt. Die Daten können beim Austausch mit dem Server weder gelesen noch verändert werden. Nur eine Person von ASTARA SA (CTO) hat Zugriff auf das Hosting, auf dem die Daten gespeichert sind. Diese Person darf nicht auf die Personendaten zugreifen (siehe Punkt 5).

3.3 Wie werden Ihre persönlichen Daten erfasst?

Wenn Sie eine Gaststätte oder eine Veranstaltung besuchen, welche die ok-resto- oder die ok-visit-Lösung nutzt, werden Sie aufgefordert, mit Ihrem Mobiltelefon einen QR-Code zu scannen. Dieser QR-Code leitet Sie zu einer Webseite, die Sie durch den Registrierungsprozess führt. Ihre Daten werden erst nach der endgültigen Bestätigung der Registrierung (Speicherung bestätigen) verschlüsselt auf unserem Webserver gespeichert.

3.4 Wie und wo werden Ihre Daten gespeichert?

Ihre Daten werden bei Infomaniak Network SA (infomaniak.com) in der Schweiz gespeichert.

3.5 Wie werden die Daten verschlüsselt?

Alle Daten werden mit einem komplexen und hochsicheren asymmetrischen Verschlüsselungsverfahren verschlüsselt. Dieses Verfahren basiert auf einem mathematisch verknüpften Schlüsselpaar (privater und öffentlicher Schlüssel). Ein Schlüssel verschlüsselt die Nachricht, der andere entschlüsselt sie. Der Server verfügt über den öffentlichen Schlüssel zur Verschlüsselung der Personendaten. Nur das Kantonsarztamt (bei Gaststätten und Veranstaltungen im Kanton Freiburg) verfügt über den privaten Schlüssel, mit dem sie entschlüsselt werden können. Bei Gaststätten und Veranstaltungen ausserhalb des Kantons Freiburg ist die Gaststätte oder die Person, die für die Veranstaltung verantwortlich ist, im Besitz des geheimen privaten Schlüssels.

3.6 Wie lange werden die verschlüsselten Daten aufbewahrt?

Die verschlüsselten Personendaten werden maximal 14 Tage aufbewahrt. Nach 14 Tagen werden die Daten automatisch gelöscht. Nach Ablauf der Frist von 14 Tagen ist es nicht möglich, die verschlüsselten Daten wiederherzustellen.

3.7 Wie lange werden die entschlüsselten Daten aufbewahrt?

Entschlüsselte Daten werden nicht auf den Servern gespeichert.

3.8 Wer kann die Daten entschlüsseln?

Bei Gaststätten und Veranstaltungen unter Aufsicht des Kantons Freiburg kann nur das Kantonsarztamt einen Entschlüsselungsprozess starten. Bei allen anderen Gaststätten und Veranstaltungen, die nicht unter der Aufsicht des Kantons Freiburg stehen, kann die Gaststätte oder der/die Verantwortliche der Veranstaltung einen Entschlüsselungsprozess starten und die Daten der Benutzerinnen und Benutzer, die sich in den 14 Tagen nach der E-Mail-Anfrage an ASTARA SA in ihrem Betrieb oder an ihrer Veranstaltung registriert haben, extrahieren.

3.9 Wie funktioniert der Entschlüsselungsprozess?

Die verantwortliche Person der Gaststätte oder der Veranstaltung bzw. die kantonale oder eidgenössische Behörde senden eine E-Mail-Anfrage an ASTARA SA. Anschliessend kann die betreffende Person mit ihrem privaten Schlüssel die Daten abrufen, die in den 14 Tagen nach der Anfrage gespeichert wurden. Das Freiburger Kantonsarztamt kann die gespeicherten Daten selbständig abfragen, ohne eine Anfrage an ASTARA SA richten zu müssen.

Der gesamte Prozess wird in einer Datei bei ASTARA SA protokolliert. Diese Datei enthält keine Personendaten.

3.10 Welche Cookies werden verwendet?

Es werden nur Session-Cookies verwendet, die für einen reibungslosen Ablauf des Registrierungsprozesses notwendig sind. Diese Cookies werden nach einer Stunde Inaktivität automatisch vom Server gelöscht. Es werden keine anderen Cookies gespeichert. In den verwendeten Cookies werden keine Personendaten gespeichert. Die Cookies dürfen nicht für die Nachverfolgung oder gezielte Werbung verwendet werden. Bei der Erstellung eines Cookies wird ihm eine neue eindeutige Identifikationsnummer zugewiesen.

4.1 Wie können Sie mit uns in Kontakt treten?

Wenn Sie Ihre Rechte in Bezug auf Ihre persönlichen Daten wahrnehmen möchten oder wenn Sie Fragen oder Bedenken dazu haben, wie Ihre persönlichen Daten verarbeitet werden, können Sie sich mit einer Nachricht an folgende Adresse an uns wenden: info@astara.ch. Wir werden uns bemühen, unverzüglich auf Ihre Fragen oder Bedenken zu antworten.

Bulle, 23. Februar 2021