A. Grundsatz

Der Schutz der Privatsphäre unserer Kunden ist Edelweiss sehr wichtig. Im Folgenden legen wir dar, nach welchen Grundsätzen wir über diese Website und andere von Edelweiss betriebenen Websites und Anwendungen (nachfolgend auch "Website") und für welche Zwecke wir Personendaten (Informationen, die Ihre Identität bestimmen oder für uns bestimmbar machen; nachfolgend auch „Daten“) erheben und bearbeiten. Diese Informationen richten sich insbesondere an:

· Nutzer unserer Website;

· Passagiere;

· Personen, die unsere Dienstleistungen nutzen oder daran interessiert sein könnten;

· Kontaktpersonen unserer Geschäftskunden und -partner;

· Personen, die uns kontaktieren;

· Empfänger unserer Newsletter, personalisierter Angebote, anderer Marketingmitteilungen und -aktivitäten;

· Teilnehmer an Kundenzufriedenheits- und Meinungsumfragen;

· Teilnehmer an Veranstaltungen.

Bitte beachten Sie, dass es zusätzliche Informationen über bestimmte Datenbearbeitungen gibt (wie z.B. unsere Cookie-Richtlinie). Oft stellen wir Ihnen die relevanten Informationen auch dort zur Verfügung, wo wir Ihre Personendaten erheben. Bitte beachten Sie auch die Vertragsbedingungen für einzelne Leistungen, für Passagiere insbesondere unsere Allgemeinen Beförderungsbestimmungen.

Ihre Personendaten erheben und bearbeiten wir sorgfältig, nur zu den in diesen Datenschutzbestimmungen beschriebenen Zwecken und nur im dafür notwendigen Umfang und im Rahmen der anwendbaren Gesetzesvorschriften. Wir bewahren Ihre Personendaten nur soweit und solange auf, als es zur Erbringung unserer Dienstleistungen erforderlich ist oder wir von Gesetzes wegen dazu verpflichtet sind. Wenn Sie uns Daten über andere Personen (z.B. Familienmitglieder oder Freunde für gemeinsame Buchungen) zur Verfügung stellen, gehen wir davon aus, dass Sie dazu berechtigt und diese Daten korrekt sind. Bitte stellen Sie sicher, dass die betroffenen Personen über diese Datenschutzbestimmungen informiert werden.

Wir haben diese Datenschutzbestimmungen sowohl am Schweizer Datenschutzgesetz (DSG) als auch an der Europäischen Datenschutz-Grundverordnung (DSGVO) ausgerichtet. Ob diese und/oder andere Datenschutzgesetze Anwendung finden, hängt vom Einzelfall ab.

Unter Ziffer I finden sich die allgemeinen Datenschutzhinweise und unter Ziffer II finden sich konkrete Anwendungsfälle von Datenbearbeitungen.

B. Verantwortlicher für die Datenbearbeitung

Sofern nicht anders angegeben, ist der Verantwortliche für die in diesen Datenschutzbestimmungen beschriebene Datenbearbeitung:

Edelweiss Air AG
The Circle 32
8058 Flughafen Zürich
Schweiz

Website: www.flyedelweiss.com

(nachfolgend «Edelweiss», «wir» oder «uns»)

Unser EU-Vertreter gemäss Art. 27 DSGVO ist:

Swiss International Air Lines AG Niederlassung Frankfurt
Cargo City Süd 558 c
D-60549 Frankfurt am Main
Deutschland

C. Kontakt

Bei Fragen zu diesen Datenschutzbestimmungen oder dem Datenschutz bei Edelweiss und zur Ausübung Ihrer Datenschutzrechte gemäss Absatz L wenden Sie sich bitte an:

Edelweiss Air AG
Datenschutzbeauftragter
The Circle 32
8058 Flughafen Zürich
Schweiz

dataprotection@flyedelweiss.com

Anfragen, die keinen Bezug zum Datenschutz haben, wie z.B. Anfragen oder Feedback zu einzelnen Buchungen oder Leistungen, werden von unserem Datenschutzteam weder beantwortet noch weitergeleitet.

D. Herkunft der Personendaten

Häufig geben Sie selbst Personendaten an uns bekannt, zum Beispiel wenn Sie uns Daten übermitteln oder mit uns kommunizieren. Die Bereitstellung von Personendaten ist in den meisten Fällen freiwillig, so dass Sie grundsätzlich nicht verpflichtet sind, uns Ihre Personendaten mitzuteilen. Wir müssen jedoch diejenigen Personendaten erheben und bearbeiten, die für die Abwicklung von Vertragsverhältnissen und die Erfüllung damit verbundener Pflichten erforderlich oder gesetzlich vorgeschrieben sind, da wir sonst den betreffenden Vertrag nicht abschliessen oder fortsetzen können. Zum Beispiel müssen Sie uns Informationen zur Verfügung stellen, die wir unsererseits an lokale oder ausländische Behörden weitergeben müssen, damit wir Sie zu Ihrem Zielflughafen befördern können (siehe Absatz E.3).

Wir können Personendaten über Sie auch selbst oder automatisch erheben, zum Beispiel wenn Sie einen Flug buchen oder andere Angebote nutzen. Dabei kann es sich um technische Daten über Ihr Gerät, Daten über die Transaktion oder Ihr Verhalten handeln. So können wir beispielsweise die während des Buchungsvorgangs erhobenen Daten analysieren und gestützt darauf Annahmen über Ihre persönlichen Interessen, Präferenzen, Affinitäten und Gewohnheiten treffen. Dies ermöglicht es uns beispielsweise, unsere Angebote und Informationen an Ihren individuellen Bedürfnissen und Interessen auszurichten (siehe Absatz J).

Personendaten können wir auch von anderen Unternehmen der Lufthansa Group erhalten. Weitere Informationen hierzu finden Sie in Absatz E.6. Wir können auch von anderen Dritten Angaben über Sie erhalten, zum Beispiel von Unternehmen, mit denen wir zusammenarbeiten, von Personen, die mit uns kommunizieren, oder aus öffentlichen Quellen.

Beispielsweise können wir von folgenden Dritten Angaben über Sie erhalten:

· Kooperationspartner;

· Personen, die in Ihrem Namen handeln (Familienangehörige, gesetzliche Vertreter);

· Reisedienstleister, die Sie nutzen;

· Banken, Versicherungen, Vertriebspartner und andere Vertragspartner für Zahlungen;

· Anbieter von Online-Diensten, z.B. Anbieter von Internet-Analysediensten;

· Informationsdienste zur Einhaltung gesetzlicher Vorgaben wie Exportrestriktionen;

· Behörden, Parteien und andere Dritte im Zusammenhang mit behördlichen und gerichtlichen Verfahren;

· Öffentliche Register wie das Betreibungs- oder Handelsregister, von öffentlichen Stellen, aus den Medien oder aus dem Internet.

E. Hauptzwecke

Zusammenfassend bearbeiten wir Personendaten zu folgenden Zwecken:

· Vertragsabwicklung, zum Beispiel die Bearbeitungen, die für die Durchführung Ihres Fluges und die Erbringung anderer Leistungen erforderlich sind;

· Information und Marketing;

· Einhaltung rechtlicher Anforderungen;

· Sicherheit;

· Rechtswahrung;

· Administration und Unterstützung innerhalb der Lufthansa Group;

· Spezifische Anwendungsfälle (wie in Ziffer II beschrieben).

 1. Vertragsabwicklung (Beförderung und sonstige Leistungen)

Wir bearbeiten Personendaten im Zusammenhang mit der Anbahnung, Verwaltung und Abwicklung von Vertragsverhältnissen. Die Vertragsabwicklung umfasst auch eine gegebenenfalls vereinbarte Personalisierung von Leistungen.

Wenn Sie ein*e Passagier*in sind, bearbeiten wir die Daten, die Sie uns bei der Buchung eines Fluges und anderer Leistungen zur Verfügung stellen zur Erfüllung des Beförderungsvertrags und der jeweiligen Leistungsverträge. Die notwendigen und freiwilligen Angaben werden im Buchungsprozess angegeben (wie z.B. Name, E-Mail-Adresse, Telefonnummer, Zahlungsinformationen, Reisedokumente etc.) und erst dann gespeichert, wenn Sie die Buchung abschliessen. Zusätzliche Dienstleistungen können von uns oder unseren Partnern angeboten werden und umfassen Sitzplatzreservierung im Voraus, zusätzliches Gepäck, Vorbestellung von Mahlzeiten, Upgrade-Optionen (einschliesslich Upgrade gegen Angebot), Gepäckabholung und Check-in-Service, Reiseversicherung, Unterkunft, Mietwagen, Pauschalangebote und andere Dienstleistungen.

Der Zweck der Vertragsabwicklung umfasst grundsätzlich alles, was für den Abschluss, die Durchführung und gegebenenfalls die Durchsetzung eines Vertrages erforderlich oder angemessen ist.

Dazu gehört beispielsweise die Bearbeitung, um:

· Mit Ihnen zu kommunizieren;

· Kundenservice anzubieten;

· Unsere IT- und andere Ressourcen zu verwalten und zu bewirtschaften;

· Zahlungen abzuwickeln und allgemein für die Buchhaltung;

· Daten im Rahmen von Aufbewahrungsfristen zu speichern;

· Gewinner von Wettbewerben oder ähnlichen Aktionen zu ermitteln, zu benachrichtigen und gegebenenfalls zu publizieren;

· Rechtsansprüche aus Verträgen durchzusetzen;

· Verträge zu kündigen und zu beenden.

Grundlage für diese Bearbeitung ist grundsätzlich die Erfüllung eines Vertrages, dessen Vertragspartei Sie sind, oder für vorvertragliche Massnahmen (Art. 6 Abs. 1 lit. b DSGVO).

2. Information und Marketing

Wir bearbeiten Personendaten zur Beziehungspflege und für Marketingzwecke, z.B. um Ihnen Newsletter und Angebote zuzusenden und Marketingkampagnen durchzuführen. Dabei kann es sich um unsere eigenen Angebote handeln oder um Angebote anderer Unternehmen der Lufthansa Group oder um solche von Partnern. Nachrichten und Angebote können personalisiert werden. Wir können Technologien verwenden, mit denen wir feststellen können, ob die Empfänger die Nachricht geöffnet oder auf andere Weise mit elektronischen Werbemitteilungen interagiert haben.

Wenn wir Sie um eine Einwilligung bitten, z.B. wenn Sie einen Newsletter abonnieren, ist unsere Grundlage für diese Bearbeitung Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Wenn wir Personendaten für Informations- und Marketingaktivitäten bearbeiten, ohne um eine Einwilligung zu bitten, sind wir im Einzelfall zum Schluss gekommen, dass unser berechtigtes Interesse eine ausreichende Grundlage für die entsprechende Bearbeitung bildet (Art. 6 Abs. 1 lit. f DSGVO). In Absatz L finden Sie Informationen über Ihr Recht, Ihre Einwilligung zu widerrufen oder der Bearbeitung zu widersprechen.

3. Einhaltung rechtlicher Anforderungen

Wir bearbeiten Personendaten, um rechtliche Pflichten einzuhalten und Verstösse zu verhindern und aufzudecken. Unsere Pflichten können sich aus schweizerischem Recht und zwischenstaatlichen Abkommen oder aus Gesetzen und Vorschriften anderer Länder weltweit ergeben, ebenso aus Selbstregulierungen, Branchen- und anderen Standards, unserer eigenen «Corporate Governance» oder behördlichen Anweisungen.

Insbesondere für die Beförderung von Passagieren können wir rechtlich verpflichtet sein, bestimmte Personendaten zu erheben und an Behörden in den Ländern auf der Reiseroute bekanntzugeben. Dabei kann es sich um folgende Personendaten handeln:

· «Advanced Passenger Information» (API-Daten): Grundlegende Informationen über Passagiere, die von bestimmten staatlichen Behörden für die Ein- und Ausreise verlangt werden. Sie enthalten u.a. den Namen, das Geburtsdatum, das Geschlecht, die Staatsbürgerschaft, die Reisedokumentdaten und die E-Mail-Adresse der Passagiere. Zudem enthalten API-Daten weitere Daten wie die Fluginformationen (z.B. Flugnummer, Ankunfts- und Abflugzeiten);

· «Passenger Name Record» (PNR-Daten): Für die Beförderung notwendige Informationen und Daten (z.B. Buchungscode, Name, E-Mail-Adresse, Fluginformationen, Zahlungsinformationen, Angaben zu Mitreisenden), sowie darüber hinaus alle zusätzlich im Zusammenhang mit der Beförderung stehenden Daten, insbesondere die von Ihnen (z.B. Vielfliegerinformationen, Sonderwünsche) oder Dritten (z.B. Reisebüro) übermittelten Informationen;

· Gesundheitsdaten wie zum Beispiel ein bestimmter Impfstatus;

· Reisegenehmigung für Kinder, wenn ein Kind allein oder nur mit einem Elternteil reist.

Diese Informationen sind aus gesetzlichen, sicherheitsrechtlichen, regulatorischen und administrativen Gründen erforderlich, die die folgenden Zwecke umfassen können:

· Grenzkontrolle;

· Einreiseformalitäten;

· Bekämpfung der organisierten und internationalen Kriminalität, des Terrorismus und anderer schwerer Verbrechen;

· Für Zwecke der öffentlichen Gesundheit; z.B. behördliche Anordnungen zur Bekämpfung einer Epidemie oder Pandemie;

· Andere rechtmässige Zwecke gemäss geltendem Recht.

In der Regel werden diese Daten von den Behörden des Abflug- und/oder Ankunftslandes benötigt und müssen daher an die beteiligten schweizerischen und ausländischen Behörden wie Strafverfolgungs-, Justiz-, Gesundheits- oder anderen Verwaltungsbehörden weitergegeben werden. Zum Beispiel erhält die Grenzbehörde der USA (U.S. Customs and Border Protection) API- und bestimmte PNR-Daten, wenn Sie einen Flug zwischen der Schweiz und den USA buchen. Die USA haben betreffend die Verwendung der Daten gegenüber der Schweiz die gleichen Zusicherungen abgegeben wie gegenüber der Europäischen Union; sie werden die Angaben nur im Kampf gegen den Terrorismus und andere grenzüberschreitende schwere Straftaten verwenden. Die Daten sind während mindestens 15 Jahren gespeichert und können Behörden in anderen Ländern weitergegeben werden. Zusätzliche Angaben zur Verwendung Ihrer Daten durch ausländische Behörden und zu Schutzmassnahmen finden Sie unter folgendem Link:

www.cbp.gov

Edelweiss ist ausserdem verpflichtet, Ihre Personendaten an schweizerische und unter Umständen ausländische Strafverfolgungs-, Justiz- oder Verwaltungsbehörden weiterzugeben, wenn diese die Bekanntgabe zur Verhinderung oder Verfolgung von Verbrechen, Vergehen oder administrativen Verfehlungen verlangen oder zur Erfüllung ihrer verwaltungsrechtlichen Aufgaben benötigen.

Datenbekanntgaben an Behörden beruhen auf unserem berechtigten Interesse an der Einhaltung von schweizerischem und ausländischem Recht und an der Unterstützung der oben beschriebenen Zwecke (Art. 6 Abs. 1 lit. c und f DSGVO). Bezieht sich die Bearbeitung auf besondere Kategorien von Personendaten (z.B. Gesundheitsdaten), ist die Rechtsgrundlage Art. 9 Abs. 2 lit. a, g oder i und Art. 10 DSGVO.

4. Sicherheit

Wir bearbeiten Personendaten zu Sicherheitszwecken – für Ihre und unsere Sicherheit. Beispiele für die Bearbeitung zu diesem Zweck sind:

· Massnahmen zur IT-Sicherheit;

· Physische Zugangskontrolle;

· Verhängung von Flugverboten für «unruly passengers». «Unruly passengers» sind Passagiere, die ungebührliches, aggressives oder gewalttätiges Verhalten gegenüber anderen Passagieren oder der Besatzung zeigen oder das Flugzeug beschädigen.

· Austausch von Daten innerhalb der Lufthansa Group und mit anderen Fluggesellschaften, um Betrugsfälle und Fälle mit «unruly passengers» zu dokumentieren, zu analysieren und zu verhindern;

· Weitergabe von Daten im Zusammenhang mit Schäden, Verletzungen und Straftaten an Behörden und Versicherungen.

Diese Datenbearbeitungen beruhen auf unserem berechtigten Interesse an Sicherheit (Art. 6 Abs. 1 lit. f DSGVO).

5. Rechtswahrung

Wir möchten in der Lage sein, unsere Ansprüche zu begründen und durchzusetzen und uns gegen die Ansprüche anderer zu verteidigen. Unsere Ansprüche können Ansprüche von Mitarbeitenden, mit uns verbundenen Unternehmen und unserer Geschäftspartner umfassen. Wir bearbeiten Personendaten zur Rechtswahrung zum Beispiel um Ansprüche gerichtlich, vor- oder aussergerichtlich und vor Behörden weltweit durchzusetzen oder uns gegen Ansprüche zu verteidigen.

Rechtsgrundlage für diese Datenbearbeitung ist unser berechtigtes Interesse an der Wahrung unserer Rechte (Art. 6 Abs. 1 lit. f DSGVO).

6. Administration und Unterstützung innerhalb der Lufthansa Group

Die Lufthansa Group pflegt und erstellt Prozesse, die allen oder mehreren Gesellschaften der Lufthansa Group dienen, um die Effizienz zu verbessern und wettbewerbsfähig zu bleiben. Edelweiss und andere Gesellschaften der Lufthansa Group können daher Personendaten austauschen, um sich gegenseitig bei der Bearbeitung von Daten in Übereinstimmung mit diesen Datenschutzbestimmungen zu unterstützen (siehe Absatz G.1).

Beispiele für eine gemeinsame Administration und Unterstützung sind:

· Verwaltung der IT einschliesslich der Systeme, die von mehreren Gesellschaften der Lufthansa Group genutzt werden;

· Zentrale Speicherung und Bewirtschaftung von Daten, die von mehreren Gesellschaften der Lufthansa Group verwendet werden;

· Schulung und Ausbildung;

· Weiterleitung von Anfragen, die andere Gesellschaften der Lufthansa Group betreffen;

· Gemeinsame Betrugsbekämpfungsmassnahmen (siehe Ziffer II Absatz B);

· Datenaustausch über «unruly passengers» (siehe Absatz E.4);

· Generell die Überprüfung und Verbesserung der konzerninternen Abläufe.

Rechtsgrundlage für diese Datenbearbeitung ist unser berechtigtes Interesse an einer effizienten Administration und Unterstützung innerhalb der Lufthansa Group (Art. 6 Abs. 1 lit. f DSGVO).

F. Rechtsgrundlagen nach der DSGVO

Je nach anwendbarem Recht ist eine Datenbearbeitung nur erlaubt, wenn das anwendbare Recht sie spezifisch erlaubt. Das gilt nicht nach dem Schweizerischen Datenschutzgesetz, aber z.B. nach der DSGVO. Falls es für den entsprechenden Zweck nicht spezifisch angegeben ist, beruht die Bearbeitung Ihrer Personendaten auf einer der folgenden Rechtsgrundlagen:

· Ihre Einwilligung, wenn wir Sie darum gebeten haben, zum Beispiel für Newsletter, Marketing-Cookies etc. (Art. 6 Abs. 1 lit. a DSGVO);

· Die Erfüllung eines Vertrages mit Ihnen oder für vorvertragliche Massnahmen, zum Beispiel im Rahmen einer Buchung bei uns oder einem unserer Partner (Art. 6 Abs. 1 lit. b DSGVO);

· Die Einhaltung einer rechtlichen Verpflichtung, zum Beispiel unsere Verpflichtung als Luftverkehrsunternehmen zur Übermittlung von API-Daten an die zuständigen Behörden basierend auf der EU-Richtlinie 2004/82/EG und Art. 104 ff. Bundgesetz über die Ausländerinnen und Ausländer und über ihre Integration (Art. 6 Abs. 1 lit. c DSGVO);

· Berechtigte Interessen, zu denen unsere eigenen Interessen und Interessen Dritter gehören, zum Beispiel an der Steigerung der Kundenzufriedenheit, an Werbe- und Marketingaktivitäten, an der Gewährleistung und Organisation des Geschäftsbetriebs, einschliesslich der Entwicklung von Websites, am Schutz von Passagieren, Kunden, Mitarbeitenden, und anderen Personen und Daten, Geheimnisse und Vermögenswerte der Lufthansa Group, am Risiko-Management, an der Durchsetzung oder Verteidigung von Rechtsansprüchen und an der Einhaltung des schweizerischen und ausländischen Rechts sowie interner Regeln (Art. 6 Abs. 1 lit. f DSGVO).

G. Offenlegung von Daten

1. Offenlegung von Daten gegenüber Unternehmen der Lufthansa Group

Edelweiss gehört zur Lufthansa Group. Weitere Informationen und Berichte der Lufthansa Group und ihrer Gesellschaften finden Sie im Lufthansa Group Unternehmensprofil. Edelweiss kann Personendaten innerhalb der Lufthansa Group offenlegen, um ihre vertraglichen Verpflichtungen Ihnen gegenüber zu erfüllen, Ihre Buchungsanfragen zu beantworten oder Kundenservice zu leisten. Eine Bekanntgabe kann der gruppeninternen Administration oder der Unterstützung der betreffenden Gruppenunternehmen und ihrer eigenen Bearbeitungszwecken dienen.

Häufig arbeiten wir mit anderen Gesellschaften der Lufthansa Group als gemeinsame Verantwortliche im Sinne des Datenschutzrechts zusammen. Häufig engagieren wir auch andere Gesellschaften der Lufthansa Group als Dienstleister.

2. Sonstige Unternehmen und Behörden

Wir können Ihre Personendaten an andere Unternehmen bekanntgeben, wenn wir deren Dienstleistungen in Anspruch nehmen. In der Regel bearbeiten diese Dienstleister Personendaten in unserem Auftrag als sog. «Auftragsbearbeiter». Unsere Auftragsbearbeiter sind verpflichtet, Personendaten ausschliesslich nach unseren Anweisungen zu bearbeiten sowie geeignete Massnahmen zur Datensicherheit zu treffen. Bestimmte Dienstleister sind auch gemeinsam mit uns für die Bearbeitung verantwortlich oder sind unabhängige Verantwortliche.

Dabei geht es z.B. um Dienstleistungen in folgenden Bereichen:

· Reisetechnologien,

· Werbe- und Marketingdienstleistungen, zum Beispiel für den Versand von Nachrichten und Informationen;

· Unternehmensverwaltung, zum Beispiel Buchhaltung oder Vermögensverwaltung

· Zahlungsdienste;

· IT-Dienstleistungen, zum Beispiel in den Bereichen Datenspeicherung (Hosting), Cloud-Dienste, Versand von E-Mail-Newslettern sowie Datenanalyse und -veredelung

· Beratungsleistungen, zum Beispiel die Dienste von Steuerberatern, Rechtsanwälten, Unternehmensberatern

Im Einzelfall können wir Personendaten an andere Dritte zu deren eigenen Zwecken weitergeben, z.B. wenn Sie Ihre Einwilligung erteilt haben oder wir gesetzlich zur Weitergabe verpflichtet oder berechtigt sind. In solchen Fällen ist der Datenempfänger datenschutzrechtlich ein unabhängiger Verantwortlicher und stellt in der Regel eine eigene Datenschutzerklärung zur Verfügung.

Dazu gehören zum Beispiel die folgenden Fälle:

· Die Bekanntgabe von Personendaten an Gerichte und Behörden im In- und Ausland (Absatz E.3)

· Die Bearbeitung von Personendaten, um einer gerichtlichen oder behördlichen Anordnung nachzukommen oder um Rechtsansprüche durchzusetzen oder zu verteidigen, oder wenn wir eine solche Bearbeitung aus anderen rechtlichen Gründen für erforderlich halten. Wir können Ihre Personendaten auch an andere Parteien weitergeben, die an einem Verfahren beteiligt sind.

Bitte beachten Sie unsere Cookie-Richtlinie zur selbständigen Datenerhebung durch Drittanbieter, deren Tools wir auf unseren Websites eingebunden haben.

H. Übermittlung von Personendaten in Länder ausserhalb der Schweiz und des Europäischen Wirtschaftsraums

Als weltweit tätige Fluggesellschaft übermitteln wir Ihre Personendaten gemäss dieser Datenschutzbestimmungen je nach Anwendungsfall in Länder weltweit. Die betreffenden Länder verfügen möglicherweise nicht über Gesetze, die Ihre Personendaten im gleichen Umfang wie in der Schweiz oder im Europäischen Wirtschaftsraum schützen. Sofern wir Ihre Personendaten in einen solchen Staat übermitteln, stellen wir den Schutz Ihrer Personendaten in angemessener Weise sicher.

Ein Mittel zur Sicherstellung eines angemessenen Datenschutzes ist zum Beispiel der Abschluss von Datenübermittlungsverträgen mit den Empfängern Ihrer Personendaten in Drittstaaten, die den erforderlichen Datenschutz sicherstellen. Dazu gehören Verträge, die von der Europäischen Kommission und dem Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten genehmigt, ausgestellt oder anerkannt wurden, sogenannte Standardvertragsklauseln. Ein Beispiel der von uns in der Regel verwendeten Datenübermittlungsverträgen finden Sie auf der Website der EU-Kommission. Bitte beachten Sie, dass solche vertraglichen Vorkehrungen einen schwächeren oder fehlenden gesetzlichen Schutz teilweise ausgleichen, aber nicht alle Risiken vollständig ausschliessen können (z.B. von staatlichen Zugriffen im Ausland). In Ausnahmefällen kann die Übermittlung in Länder ohne angemessenen Schutz auch in anderen Fällen zulässig sein, z.B. gestützt auf eine Einwilligung, im Zusammenhang mit einem Rechtsverfahren im Ausland oder wenn die Übermittlung für die Abwicklung eines Vertrages erforderlich ist.

I. Aufbewahrung von Personendaten

Wir speichern Ihre Personendaten:

· Solange es für die Zwecke der Bearbeitung bzw. damit vereinbare Zwecke erforderlich ist, bei Verträgen in der Regel mindestens für die Dauer des Vertragsverhältnisses;

· Solange sie einer gesetzlichen Aufbewahrungspflicht unterliegt. So gilt beispielsweise für bestimmte Daten eine Aufbewahrungsfrist von zehn Jahren;

· Solange wir ein berechtigtes Interesse an der Speicherung haben. Dies kann insbesondere dann der Fall sein, wenn wir Personendaten benötigen, um Ansprüche durchzusetzen oder abzuwehren, zu Archivierungszwecken und zur Gewährleistung der IT-Sicherheit.

J. Profiling und automatisierte Entscheidungsfindung mit Rechtswirkung

«Profiling» meint die automatisierte Bearbeitung von Personendaten, um persönliche Aspekte zu analysieren oder Prognosen zu treffen, z.B. die Analyse persönlicher Interessen, Präferenzen, Affinitäten und Gewohnheiten oder die Prognose eines voraussichtlichen Verhaltens. Profiling ist in vielen Branchen ein häufiger Vorgang. Das Profiling unterstützt uns bei den in Ziffern I Absatz E und Ziffer II erwähnten Zwecken und basiert auf den erwähnten Rechtsgrundlagen. Profiling hilft uns beispielsweise:

· Unsere Angebote kontinuierlich zu verbessern und besser auf individuelle Bedürfnisse auszurichten;

· Ihnen unsere Inhalte und Angebote bedarfsgerecht zu präsentieren;

· Ihnen Werbung und Angebote zu unterbreiten, die für Sie wahrscheinlich relevant sind;

· Sie beim Kundenservice besser zu unterstützten.

Wir treffen keine Entscheidung über Sie, die vollständig automatisiert erfolgt und die Ihnen gegenüber rechtliche Konsequenzen hat oder Sie in ähnlicher Weise erheblich beeinträchtigt. Andernfalls informieren wir Sie gesondert darüber. Sie hätten dann die Möglichkeit, die Entscheidung von einem Menschen überprüfen zu lassen.

K. Datensicherheit

Wir treffen angemessene Sicherheitsmassnahmen technischer und organisatorischer Natur, um die Sicherheit Ihrer Personendaten zu wahren, um sie gegen unberechtigte oder unrechtmässige Bearbeitungen zu schützen und der Gefahr des Verlusts, einer unbeabsichtigten Veränderung, einer ungewollten Offenlegung oder eines unberechtigten Zugriffs entgegenzuwirken. Wie alle Unternehmen können wir Datensicherheitsverletzungen aber nicht mit letzter Sicherheit ausschliessen; gewisse Restrisiken sind unvermeidbar.

Zu den Sicherheitsmassnahmen technischer Natur gehören z.B. die Verschlüsselung und Pseudonymisierung von Daten, Protokollierungen, Zugriffsbeschränkungen und die Speicherung von Sicherheitskopien. Sicherheitsmassnahmen organisatorischer Natur umfassen z.B. die Schulung unserer Mitarbeitenden, Vertraulichkeitsvereinbarungen und Kontrollen. Wir verpflichten auch unsere Auftragsbearbeiter dazu, angemessene technische und organisatorische Sicherheitsmassnahmen zu treffen.

Edelweiss übernimmt jedoch keine Gewährleistung für die Sicherung Ihrer Daten. Es obliegt Ihnen, stets eine aktuelle Sicherheitskopie der übermittelten Daten anzulegen und unabhängig der Webseite aufzubewahren. Zudem liegt es in Ihrer Verantwortung, ein sicheres Passwort für Ihr Kundenkonto vorzusehen, dieses sicher aufzubewahren und in regelmässigen Abständen zu ändern.

L.  Ihre Rechte in Bezug auf Ihre Personendaten

Sie haben das Recht, der Datenbearbeitung zu widersprechen, besonders wenn wir Ihre Personendaten auf der Grundlage eines berechtigten Interesses bearbeiten und die weiteren anwendbaren Voraussetzungen erfüllt sind. Ein Widerspruch gilt nur für die Zukunft und berührt die bisherige Bearbeitung nicht. Soweit Edelweiss aufgrund des Widerspruchs die mit Ihnen vertraglich vereinbarten Leistungen nicht mehr erbringen kann, gilt der Widerspruch als Vertragsverletzung des Kunden und Edelweiss hat das Recht, den Vertrag mit Ihnen fristlos aufzulösen. Vertraglich eingegangene Zahlungsverpflichtungen des Kunden bleiben bestehen.

Ausserdem können Sie Datenbearbeitungen im Zusammenhang mit Direktwerbung (z.B. Werbe-E-Mails) jederzeit widersprechen. Dies gilt auch für ein Profiling, soweit dieses mit solchem Direktmarketing in Verbindung steht.

Sofern die jeweils anwendbaren Voraussetzungen erfüllt sind und keine gesetzlichen Ausnahmen vorliegen, haben Sie zudem die folgenden Rechte:

· Das Recht, Auskunft über Ihre bei uns gespeicherten Personendaten zu verlangen;

· Das Recht auf Berichtigung unrichtiger oder unvollständiger Personendaten;

· Das Recht, die Löschung oder Anonymisierung Ihrer Personendaten zu verlangen;

· Das Recht, die Einschränkung der Bearbeitung Ihrer Personendaten zu verlangen;

· Das Recht, bestimmte Personendaten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten;

· Das Recht, eine Einwilligung mit Widerruf für die Zukunft zu widerrufen, soweit die Bearbeitung auf einer Einwilligung beruht.

Bitte beachten Sie, dass diese Rechte im Einzelfall eingeschränkt oder ausgeschlossen sein können, z.B. wenn Zweifel an der Identität bestehen oder wenn dies zum Schutz anderer Personen, zur Wahrung schutzwürdiger Interessen oder zur Einhaltung gesetzlicher Verpflichtungen erforderlich ist. Wenn die Ausübung bestimmter Rechte für Sie mit Kosten verbunden ist, werden wir Sie im Voraus darüber informieren.

Im Allgemeinen erfordert die Ausübung dieser Rechte, dass Sie Ihre Identität nachweisen (mit einer Kopie Ihres Reisepasses oder Ihrer ID, wenn Ihre Identität nicht anderweitig ersichtlich ist oder auf andere Weise überprüft werden kann).

Zur Geltendmachung dieser Rechte können Sie Edelweiss unter der in Absatz C angegebenen Adresse kontaktieren.

Wir sind für die Gelegenheit dankbar, Ihre Bedenken zu adressieren, die Sie gegebenenfalls im Zusammenhang mit unserer Datenbearbeitung haben. Es steht Ihnen dennoch frei, bei einer zuständigen Aufsichtsbehörde Beschwerde einzureichen.

M. Aktualisierungen

Wir überprüfen unsere Datenschutzbestimmungen regelmässig und werden sie bei Bedarf aktualisieren. Es gilt die jeweils aktuelle, auf unserer Website publizierte Fassung.

A. Zugriff auf die Website

Wir erheben Informationen, die Ihr Browser beim Besuch unserer Websites automatisch an uns übermittelt. Dabei kann es sich um folgende Daten handeln:

· Internet-Protokoll-Adresse (IP-Adresse) des Geräts des Benutzers;

· Internet-Service-Provider;

· Betriebssystem, Browsertyp und Browserversion;

· Datum und Uhrzeit der Serveranfrage;

· Aufgerufene Website;

· Referrer-URL (die zuvor besuchte Website).

Die Bearbeitung der oben beschriebenen automatisch erhobenen Daten erfolgt zu den Zwecken der ordnungsgemässen Funktion unserer Websites, z.B. zum Verbindungsaufbau, zur Gewährleistung der Stabilität und ununterbrochenen Systemsicherheit, zur Verbesserung unserer Dienstleistungen sowie zu statistischen Zwecken.

Rechtsgrundlage für die Datenbearbeitung ist unser berechtigtes Interesse an der ordnungsgemässen Funktion unserer Websites (Art. 6 Abs. 1 lit. f DSGVO).

Auf unseren Websites bearbeiten wir Personendaten auch mit sogenannten Cookies und ähnlichen Technologien für weitere Zwecke wie Analyse und Marketing. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.

B. Missbrauchsbekämpfung

Wir behalten uns das Recht vor, Zahlungstransaktionen zu überprüfen, um Betrug und andere missbräuchliche Nutzungen im Zusammenhang mit Zahlungen zu verhindern. Zu diesem Zweck werden interne und externe Informationsquellen verwendet. Wenn der Verdacht missbräuchlicher Handlungen besteht und/oder solche festgestellt werden, behalten wir uns ausserdem das Recht vor, die entsprechenden Informationen (einschliesslich Personendaten) an andere Gesellschaften der Lufthansa Group weiterzugeben, welche die Daten für ihre Zwecke ebenfalls prüfen können.

Grundlage für diese Datenbearbeitung ist unser berechtigtes Interesse an der Missbrauchsbekämpfung (Art. 6 Abs. 1 lit. f DSGVO).

C. Upgrade gegen Angebot

Auf gewissen Strecken bietet Edelweiss Ihnen ein Upgrade gegen Angebot an. Hierbei haben Sie die Möglichkeit, Ihr Wunschgebot für ein Upgrade in eine nächsthöhere Beförderungsklasse abzugeben. Diese Dienstleistung bietet Ihnen Edelweiss in Zusammenarbeit mit einem externen Dienstleister an. Um diesen Prozess durchführen zu können, werden flugbezogene Informationen (Name, E-Mail-Adresse, Fluginformationen, Beförderungsklasse) sowie die Höhe Ihres Angebots an den Dienstleister übermittelt. Dies dient dazu, Ihr Upgrade bei Akzeptanz Ihres Angebotes Ihrem ursprünglich ausgestellten Flugticket zuzuordnen und dieses für Sie automatisch anzupassen. Detaillierte Informationen zur Verarbeitung Ihrer Daten bei Nutzung der Dienstleitung Upgrade gegen Angebot finden Sie unter dem folgenden Link:

www.plusgrade.com

Die Grundlage für die Bearbeitung im Zusammenhang mit dem Upgrade gegen Angebot ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

D. Angebote von Dritten im Rahmen der Beförderung

Im Rahmen der Beförderung zeigt Ihnen Edelweiss auf anonymer Basis erstellte Angebote von Dritten (z.B. von Hotels oder Fahrzeugvermietern) auf der Website an. Haben Sie uns die entsprechende Einwilligung erteilt, zeigen wir Ihnen solche Angebote auch als Teil der Kommunikation vor Abflug an.

Die Grundlage für diese Datenbearbeitung ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

E. Versicherung

Edelweiss bietet Ihnen im Rahmen der Buchung eine Reiseversicherung eines Dritten auf ihrer Webseite an. Sofern die Versicherung von Ihnen abgeschlossen wird (d.h. online "bestellt" wird), erhält Edelweiss Daten von Ihnen, rechnet mit Ihnen im Auftrag des Dritten direkt ab (Zahlung erfolgt an Edelweiss) und sendet dem Dritten den Namen des Antragsstellers, die Länge der Reise und den Buchungscode. Der Dritte schickt danach eine E-Mail mit der entsprechenden Police an Sie, wovon Edelweiss eine Kopie erhält.

Die Grundlage für diese Datenbearbeitung ist die Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).

F. Newsletter

Auf Wunsch halten wir Sie über relevante Entwicklungen und Angebote von Edelweiss auf dem Laufenden. Für die Anmeldung unseres Newsletters verwenden wir das sogenannte Double Opt-in-Verfahren: Wenn Sie unseren Newsletter auf der Website z.B. durch Anklicken eines Bestätigungsfelds bestellen, senden wir Ihnen eine Benachrichtigungs-E-Mail. Durch Aktivierung eines entsprechenden Links können Sie die Bestellung bestätigen. Wenn Sie später keinen Newsletter mehr von Edelweiss erhalten wollen, können Sie diesen jederzeit kostenlos im Newsletter selbst abbestellen.

Wir bearbeiten Ihre Daten im Zusammenhang mit dem Newsletter, um Ihnen Nachrichten über und im Zusammenhang mit Edelweiss und unseren Partnern zuzusenden. Darüber hinaus bearbeiten und nutzen wir die eingegebene E-Mail-Adresse auch, um Ihnen personalisierte Angebote im Zusammenhang mit dem Newsletter zukommen zu lassen.

Sollte ein Link aus dem Newsletter Sie auf unsere Website führen, geben Sie uns zudem die Erlaubnis zur Bearbeitung und Nutzung Ihrer IP-Adresse, sowie Geo-Daten, Web-Beacons oder ähnlicher Technologien, um zu prüfen, ob die Ihnen im Zuge dieser Kommunikation unterbreiteten Angebote Ihren Anforderungen entsprechen.

Für den Versand des Newsletters arbeitet Edelweiss mit externen Dienstleistern zusammen.

Die Grundlage für diese Datenbearbeitung ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).

G. Zufriedenheitsumfragen

Im Rahmen von Analyseaktivitäten und um einen besseren Kundenservice bieten zu können, kann Edelweiss Sie nach Abschluss Ihres Edelweiss-Fluges um Teilnahme an Kundenzufriedenheitsumfragen bitten. Möchten Sie später auf die Zusendung solcher Angebote oder Anfragen verzichten, können Sie diese jederzeit kostenlos in der entsprechenden E-Mail über den dort aufgeführten Link abbestellen.

Die Grundlage für diese Datenbearbeitung ist das berechtigte Interesse an der Verbesserung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO).

H. Live Chat

Edelweiss bietet Ihnen auf flyedelweiss.com eine Online-Beratung in Form eines Live-Chats an. Während eines Chats sieht der Dienstleister Ihre Details der Edelweiss-Website (gesammelt über ein Cookie dieses Tools), die ihm helfen, Sie zu unterstützen. Darüber hinaus hat er Zugriff auf die Edelweiss Passagierdatenbank (z.B. Datenbank mit Buchungen, Reservierungen) und kann in Ihrem Auftrag gewisse Daten überprüfen, sofern Sie dem Dienstleister Ihren Namen bekannt geben und den Dienstleister zur Überprüfung auffordern.

Edelweiss arbeitet für den Betrieb des Live-Chats mit einem externen Dienstleister zusammen.

Die Rechtsgrundlage für die Bearbeitung Ihrer Daten ist:

· Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO), wenn sich Ihr Anliegen auf eine bestehende oder geplante Buchung bezieht;

· Unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), einen optimalen Service anzubieten und Betrug zu vermeiden sowie Rechtsansprüche geltend zu machen, auszuüben und zu verteidigen.

I. Sponsoring- und Kooperationsanfragen

Edelweiss bearbeitet zum Zweck der Prüfung und Bearbeitung von Anfragen im Zusammenhang mit einem möglichen Sponsoring-/Partnerschafts-Verhältnis Personendaten der antragsstellenden Personen.

Eine automatisierte Entscheidungsfindung einschliesslich Profiling findet nicht statt.

Die Grundlage für diese Datenbearbeitung ist die Vertragserfüllung bzw. Durchführung vorvertraglicher Massnahmen (Art. 6 Abs. 1 lit. b DSGVO).

J. Facebook und Instagram

Auf den offiziellen Facebook und Instagram Seiten von Edelweiss werden Unternehmens- und Produktneuerungen, sowie attraktive Angebote auf der Kurz- und Langstrecke kommuniziert.

Zudem bietet Edelweiss Kundensupport via Facebook und Instagram an.

Wir bearbeiten Daten für folgende Zwecke:

· Auswertungen von Analysen und Statistiken für die Facebook und Instagram Seite in Bezug auf die Interaktionen ihrer Nutzer;

· Optimierung der Facebook und Instagram Seite in Bezug auf ihre Benutzerfreundlichkeit und Attraktivität sowie Einführung nutzergerechter Marketingmassnahmen;

· Sonstige Kommunikation und Interaktion, die durch Facebook- und Instagram-Nutzer initiiert wird.

Rechtsgrundlage für die Datenbearbeitung im Falle Ihrer Kontaktaufnahme ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). In den anderen Fällen ist die Rechtsgrundlage für die Datenbearbeitung unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO), unsere Kommunikation auf diesen Plattformen zu optimieren.

K. Edelweiss Experiences

Edelweiss bearbeitet im Rahmen der Eventreihe «Edelweiss Experiences» Personendaten. Diese Daten werden zu den folgenden Zwecken bearbeitet:

· Kontaktaufnahme mit den Gewinnern;

· Organisation der Eventteilnahme (z.B. Buchung des Fluges);

· Analyse der Interessen der teilnehmenden Personen.

Die Personendaten werden nach Durchführung des jeweiligen Events anonymisiert.

Die Grundlage für diese Datenbearbeitung ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).