Rechtliches

Datenschutz

1. Einleitung und Geltungsbereich

Mit dieser Datenschutzerklärung informieren wir Sie umfassend über die Art, den Umfang und die Zwecke der Erhebung und Verwendung Ihrer personenbezogenen Daten durch Canelas Natural Beauty Center (Einzelunternehmen).

Diese Datenschutzerklärung gilt für unsere Website www.canelasnaturalbeauty.ch sowie für alle damit verbundenen Online-Angebote, Dienste und Kommunikationskanäle.

Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst und behandeln Ihre personenbezogenen Daten vertraulich und entsprechend dem schweizerischen Datenschutzrecht (revDSG) sowie – soweit anwendbar – der Datenschutz-Grundverordnung (DSGVO) der Europäischen Union.

Die Nutzung unserer Website ist in der Regel ohne Angabe personenbezogener Daten möglich. Soweit auf unseren Seiten personenbezogene Daten erhoben werden, erfolgt dies stets auf freiwilliger Basis. Diese Daten geben wir nur an die in dieser Erklärung genannten Dienstleister weiter – oder wenn wir gesetzlich dazu verpflichtet sind.

2. Verantwortlicher

Verantwortlich für die Datenbearbeitung im Sinne der Datenschutzgesetzgebung ist:

Canelas Natural Beauty Center (Einzelunternehmen)
Inhaberin: Diana Creo Cernadas
Rennweg 30, 8001 Zürich
Schweiz

E-Mail: [email protected]
Telefon: +41 44 501 66 66
Website: www.canelasnaturalbeauty.ch

Bei Fragen zum Datenschutz können Sie sich jederzeit an uns wenden.

3. Begriffsdefinitionen

Um diese Datenschutzerklärung verständlich zu gestalten, verwenden wir folgende Begriffsdefinitionen:

Personendaten / Personenbezogene Daten: Alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen (z.B. Name, Adresse, E-Mail-Adresse, Telefonnummer, IP-Adresse).

Bearbeitung / Verarbeitung: Jeder Umgang mit Personendaten, unabhängig von den Mitteln und Verfahren, insbesondere Beschaffen, Speichern, Aufbewahren, Verwenden, Verändern, Bekanntgeben, Archivieren, Löschen oder Vernichten.

Betroffene Person: Die natürliche Person, deren personenbezogene Daten verarbeitet werden.

Verantwortlicher: Die natürliche oder juristische Person, Behörde oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung entscheidet.

Auftragsverarbeiter: Eine Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

Einwilligung: Jede freiwillig, in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder eindeutigen bestätigenden Handlung.

Cookies: Kleine Textdateien, die auf Ihrem Endgerät gespeichert werden. Man unterscheidet zwischen Session-Cookies (werden nach Beendigung der Browsersitzung gelöscht) und persistenten Cookies (werden für einen definierten Zeitraum gespeichert).

Cookies auf dieser Website: Unsere Website setzt selbst keine Cookies zu Analyse- oder Werbezwecken und verwendet deshalb kein Cookie-Banner. Ihr Browser speichert lediglich funktionale Einstellungen (z. B. Ihre Sprachwahl) lokal; diese Informationen werden nicht an uns übermittelt. Technisch notwendige Cookies können durch die in Abschnitt 8 genannten Dienstleister gesetzt werden.

4. Rechtsgrundlagen

Wir bearbeiten Personendaten im Einklang mit dem schweizerischen Datenschutzrecht, insbesondere dem revidierten Bundesgesetz über den Datenschutz (revDSG) vom 25. September 2020 und der Verordnung über den Datenschutz (DSV).

Nach Schweizer Recht ist eine Bearbeitung von Personendaten grundsätzlich erlaubt, sofern mindestens eine der folgenden Voraussetzungen erfüllt ist:

  • kein gesetzliches Verbot besteht
  • die betroffene Person eingewilligt hat
  • ein überwiegendes privates oder öffentliches Interesse besteht
  • die Bearbeitung zur Vertragserfüllung erforderlich ist

Soweit die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union anwendbar ist (z.B. bei Angeboten für Personen im EU/EWR-Raum), bearbeiten wir Personendaten auf folgenden Rechtsgrundlagen gemäss Art. 6 Abs. 1 DSGVO:

  • Einwilligung (lit. a): Die betroffene Person hat ihre Einwilligung für einen oder mehrere bestimmte Zwecke gegeben. Die Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
  • Vertragserfüllung (lit. b): Die Verarbeitung ist für die Erfüllung eines Vertrags oder vorvertraglicher Massnahmen erforderlich.
  • Rechtliche Verpflichtung (lit. c): Die Verarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich.
  • Lebenswichtige Interessen (lit. d): Die Verarbeitung ist erforderlich, um lebenswichtige Interessen einer natürlichen Person zu schützen.
  • Öffentliches Interesse (lit. e): Die Verarbeitung ist für eine Aufgabe im öffentlichen Interesse erforderlich.
  • Berechtigte Interessen (lit. f): Die Verarbeitung ist zur Wahrung unserer berechtigten Interessen erforderlich, sofern nicht die Interessen der betroffenen Person überwiegen.

5. Art der erhobenen Daten

Wir erheben und verarbeiten verschiedene Kategorien personenbezogener Daten. Welche Daten konkret erhoben werden, hängt von den jeweiligen Diensten und Funktionen ab, die Sie nutzen.

Stammdaten: Name, Vorname – grundlegende Informationen zur Identifikation.

Kontaktdaten: E-Mail-Adresse, Telefonnummer – Informationen zur Kontaktaufnahme.

Technische Daten: IP-Adresse, Browsertyp und -version, Betriebssystem, Gerätetyp – automatisch erfasste Informationen bei der Nutzung unserer Website.

Datenquellen: Die Daten werden direkt von Ihnen (durch Eingabe in unser Kontaktformular) oder automatisch (durch technische Protokollierung beim Websitebesuch) erhoben.

6. Zwecke der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten für folgende Zwecke:

  • Bereitstellung und Betrieb unserer Website – um Ihnen unsere Website und deren Funktionen zur Verfügung zu stellen (Rechtsgrundlage: berechtigtes Interesse).
  • Gewährleistung der IT-Sicherheit – Schutz unserer Systeme vor Missbrauch, Angriffen und technischen Störungen (Rechtsgrundlage: berechtigtes Interesse).
  • Erfüllung rechtlicher Verpflichtungen – zur Einhaltung gesetzlicher Aufbewahrungs- und Dokumentationspflichten (Rechtsgrundlage: rechtliche Verpflichtung).

7. Server-Logfiles

Bei jedem Zugriff auf unsere Website erfasst unser Hosting-Anbieter Cloudflare automatisch technische Daten in Server-Logfiles. Dies ist aus technischen und sicherheitsrelevanten Gründen erforderlich; wir selbst betreiben keine eigenen Server.

Verarbeitete Daten: IP-Adresse, Datum und Uhrzeit des Zugriffs, aufgerufene Seite/Datei, übertragene Datenmenge, Browsertyp und -version, Betriebssystem, Referrer-URL, Hostname des zugreifenden Rechners.

Rechtsgrundlage: Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 Abs. 1 revDSG) – Gewährleistung der Systemsicherheit und Fehleranalyse.

Speicherdauer: Die Logdaten werden beim Hosting-Anbieter nur so lange gespeichert, wie dies für die genannten Zwecke erforderlich ist.

8. Drittdienste und Auftragsverarbeiter

Kontaktformular und E-Mail-Versand (Resend): Wenn Sie unser Kontaktformular nutzen, verarbeiten wir die von Ihnen eingegebenen Daten (Name, E-Mail-Adresse und Nachricht), um Ihre Anfrage zu beantworten. Die Zustellung der Nachricht erfolgt über den E-Mail-Dienst Resend (Resend, Inc., USA). Rechtsgrundlage: Durchführung vorvertraglicher Massnahmen sowie berechtigtes Interesse an der Beantwortung Ihrer Anfrage (Art. 6 Abs. 1 lit. b und f DSGVO). resend.com/legal/privacy-policy

Hosting und Spam-Schutz (Cloudflare): Unsere Website wird über Cloudflare (Cloudflare, Inc., USA) bereitgestellt. Zum Schutz des Kontaktformulars vor Spam und automatisierten Zugriffen setzen wir zusätzlich Cloudflare Turnstile ein. Dabei werden technische Daten (insbesondere die IP-Adresse) verarbeitet. Rechtsgrundlage: berechtigtes Interesse an der Sicherheit und Verfügbarkeit unserer Website (Art. 6 Abs. 1 lit. f DSGVO). cloudflare.com/privacypolicy

Webanalyse (Cloudflare Web Analytics): Zur Messung von Nutzung und Leistung unserer Website verwenden wir Cloudflare Web Analytics. Der Dienst arbeitet ohne Cookies und ohne seitenübergreifendes Tracking; erfasst werden technische Daten (z. B. aufgerufene Seite, Referrer, Browsertyp, Betriebssystem) in aggregierter Form. Rechtsgrundlage: berechtigtes Interesse an der Analyse und Verbesserung unseres Angebots (Art. 6 Abs. 1 lit. f DSGVO).

Kommunikation über WhatsApp und soziale Medien: Wenn Sie uns über WhatsApp kontaktieren oder unsere Profile auf Instagram oder Facebook besuchen, verarbeitet Meta Platforms (Meta Platforms Ireland Ltd. bzw. Meta Platforms, Inc., USA) Ihre Daten (z. B. Telefonnummer, Nachrichteninhalte, Nutzungsdaten) in eigener Verantwortung. Es gelten ergänzend die Datenschutzhinweise von WhatsApp, Instagram und Facebook.

Google Maps: Im Kontaktbereich unserer Website binden wir eine Karte des Dienstes Google Maps ein. Die Karte wird automatisch geladen, sobald dieser Bereich angezeigt wird. Dabei werden technische Daten (insbesondere Ihre IP-Adresse) an Google übermittelt; dies ist technisch erforderlich, um die Karte darzustellen.

Anbieter: Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland (Mutterkonzern: Google LLC, USA).
Zweck: Einbettung interaktiver Karten zur Anzeige unseres Standortes.
Datenkategorien: IP-Adresse, Standortdaten, Geräteinformationen, Cookies.
Rechtsgrundlage: Berechtigtes Interesse an der ansprechenden Darstellung unseres Standortes (Art. 6 Abs. 1 lit. f DSGVO / Art. 31 revDSG).
Datenschutzerklärung von Google: policies.google.com/privacy

9. Internationale Datenübermittlung

Im Rahmen unserer Datenverarbeitung werden Personendaten auch an Empfänger ausserhalb der Schweiz und des Europäischen Wirtschaftsraums (EWR) übermittelt. Dies betrifft insbesondere die USA.

Für die USA besteht ein Angemessenheitsbeschluss für Unternehmen, die nach dem EU-U.S. Data Privacy Framework (seit Juli 2023, für die EU) bzw. dem Swiss-U.S. Data Privacy Framework (seit dem 15. September 2024, für die Schweiz) zertifiziert sind. Google und Cloudflare verfügen über eine solche Zertifizierung.

Für Übermittlungen an Empfänger, für die kein Angemessenheitsbeschluss besteht, stützen wir uns auf folgende Garantien, um ein angemessenes Datenschutzniveau zu gewährleisten:

  • Standardvertragsklauseln (SCC): Für die betreffenden Empfänger (z. B. Resend) gelten die von der Europäischen Kommission genehmigten Standardvertragsklauseln im Rahmen der jeweiligen Auftragsverarbeitungsverträge.
  • Angemessenheitsprüfung: Vor jeder Datenübermittlung prüfen wir, ob das Empfängerland ein angemessenes Datenschutzniveau bietet oder ob zusätzliche Schutzmassnahmen erforderlich sind.
  • Zusätzliche Schutzmassnahmen: Bei Bedarf implementieren wir technische und organisatorische Massnahmen wie Verschlüsselung, Pseudonymisierung oder vertragliche Vereinbarungen.

Hinweis zu USA-Transfers: US-Behörden könnten unter bestimmten Umständen Zugang zu übermittelten Daten haben. Wir informieren Sie hiermit transparent über dieses Restrisiko. Sie haben das Recht, eine Kopie der vereinbarten Standardvertragsklauseln oder Informationen über die implementierten Schutzmassnahmen anzufordern.

10. Aufbewahrungsfristen

Wir speichern Ihre personenbezogenen Daten nur so lange, wie es für die Erfüllung der Zwecke, für die sie erhoben wurden, erforderlich ist oder wie es gesetzliche Aufbewahrungspflichten vorsehen.

Die Speicherdauer richtet sich nach:

  • dem Zweck der Datenverarbeitung
  • gesetzlichen Aufbewahrungspflichten
  • berechtigten Interessen (z.B. Verteidigung gegen Rechtsansprüche)
  • der Art der Daten und dem Risiko für die betroffenen Personen

Konkrete Aufbewahrungsfristen:

  • Server-Logfiles: nur so lange wie für die IT-Sicherheit erforderlich (Speicherung beim Hosting-Anbieter)
  • Buchungsbelege / Rechnungen: 10 Jahre (Art. 958f OR)
  • Verträge und Geschäftskorrespondenz: 10 Jahre nach Vertragsende (Art. 958f OR / Verjährungsfristen)

Nach Ablauf der jeweiligen Fristen werden die Daten routinemässig gelöscht, sofern sie nicht für andere Zwecke weiterhin benötigt werden.

11. Datensicherheit

Wir treffen angemessene technische und organisatorische Sicherheitsmassnahmen (TOM), um Ihre personenbezogenen Daten vor unberechtigtem Zugriff, Verlust, Missbrauch oder Zerstörung zu schützen. Die konkret eingesetzten Massnahmen richten sich nach dem aktuellen Stand der Technik und werden regelmässig überprüft.

Unsere Sicherheitsmassnahmen umfassen insbesondere:

  • Verschlüsselte Datenübertragung (TLS/SSL)
  • Zugriffsbeschränkungen und Berechtigungskonzepte
  • Schutz der IT-Infrastruktur durch geeignete Sicherheitssysteme
  • Regelmässige Datensicherungen
  • Wartung und Aktualisierung unserer Systeme
  • Vertraulichkeitsverpflichtungen für Mitarbeitende
  • Sorgfältige Auswahl und vertragliche Bindung von Dienstleistern
  • Prozesse zur Erkennung und Behandlung von Sicherheitsvorfällen

Trotz aller Vorsichtsmassnahmen kann keine Datenübertragung im Internet als vollständig sicher garantiert werden. Im Falle einer Datenschutzverletzung mit voraussichtlich hohem Risiko für Ihre Rechte und Freiheiten werden wir Sie unverzüglich informieren und die zuständigen Behörden benachrichtigen.

12. Betroffenenrechte

Als betroffene Person haben Sie verschiedene Rechte in Bezug auf Ihre personenbezogenen Daten. Diese ergeben sich aus dem schweizerischen Datenschutzgesetz (revDSG) und, soweit anwendbar, aus der DSGVO.

  • Auskunftsrecht: Bestätigung darüber, ob wir Daten von Ihnen verarbeiten, sowie Auskunft über Zwecke, Kategorien, Empfänger und Speicherdauer.
  • Recht auf Berichtigung: Berichtigung unrichtiger oder Vervollständigung unvollständiger Daten.
  • Recht auf Löschung («Recht auf Vergessenwerden»): unter bestimmten Voraussetzungen, insbesondere wenn die Daten für die Zwecke ihrer Erhebung nicht mehr notwendig sind.
  • Recht auf Einschränkung der Verarbeitung unter bestimmten Voraussetzungen.
  • Recht auf Datenübertragbarkeit: Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format.
  • Widerspruchsrecht (Art. 21 DSGVO): jederzeit gegen eine auf berechtigten Interessen basierende Verarbeitung; bei Direktwerbung ohne Angabe von Gründen.
  • Recht auf Widerruf der Einwilligung mit Wirkung für die Zukunft.
  • Beschwerderecht bei einer Aufsichtsbehörde, wenn Sie der Ansicht sind, dass die Verarbeitung gegen das Datenschutzrecht verstösst.

Zuständige Aufsichtsbehörde in der Schweiz:
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldeggweg 1, CH-3003 Bern
Tel.: +41 58 462 43 95 · edoeb.admin.ch

Bei Angeboten für Personen im EU/EWR-Raum können Sie sich auch an die für Ihr Land zuständige Datenschutzaufsichtsbehörde wenden.

Ausübung Ihrer Rechte: Zur Ausübung Ihrer Rechte können Sie sich jederzeit per E-Mail ([email protected]) oder telefonisch (+41 44 501 66 66) an uns wenden. Wir benötigen einen Identitätsnachweis und bearbeiten Ihre Anfrage in der Regel innerhalb eines Monats.

13. Aktualisierung und Kontakt

Wir können diese Datenschutzerklärung von Zeit zu Zeit anpassen, um Änderungen unserer Datenverarbeitungspraktiken, neue gesetzliche Anforderungen oder sonstige Entwicklungen zu berücksichtigen. Bei wesentlichen Änderungen werden wir Sie – soweit möglich und angemessen – gesondert informieren.

Bei Fragen zu dieser Datenschutzerklärung können Sie sich jederzeit an uns wenden:
E-Mail: [email protected]
Telefon: +41 44 501 66 66

Stand dieser Datenschutzerklärung: 11.06.2026