Datenschutzerklärung

1. Allgemeine Hinweise und Geltungsbereich

Der Schutz Ihrer Personendaten ist der BF Solutions GmbH ein wichtiges Anliegen. Diese Datenschutzerklärung informiert Sie darüber, welche Personendaten im Zusammenhang mit der Website bfpos.ch, der Kassensoftware BF POS, dem Vermittlungsdienst BF Payments sowie den dazugehörigen Dienstleistungen bearbeitet werden. Die Bearbeitung erfolgt in Übereinstimmung mit dem revidierten Schweizer Datenschutzgesetz (revDSG, in Kraft seit 1. September 2023), der Verordnung zum DSG (DSV) sowie — soweit anwendbar — der EU-Datenschutz-Grundverordnung (DSGVO).

2. Verantwortliche Stelle und Datenschutzkontakt

Verantwortlicher im Sinne von Art. 5 lit. j revDSG / Art. 4 Ziff. 7 DSGVO:

BF Solutions GmbH
Hauptstrasse 54
4566 Kriegstetten
Schweiz

Telefon: +41 79 819 13 88
E-Mail: info@bfsolutions.ch
Datenschutzanfragen: datenschutz@bfsolutions.ch

3. Begriffe und Rechtsgrundlagen

Wir bearbeiten Personendaten gestützt auf folgende Rechtsgrundlagen:

• Vertragserfüllung und vorvertragliche Massnahmen (Art. 31 Abs. 2 lit. a revDSG / Art. 6 Abs. 1 lit. b DSGVO)
• Gesetzliche Pflicht (z. B. OR, MWSTG, GwG)
• Berechtigtes Interesse (z. B. Sicherheit, Betrugsprävention, Direktwerbung)
• Einwilligung (Art. 6 revDSG / Art. 6 Abs. 1 lit. a DSGVO), z. B. für Newsletter und Tracking

4. Datenerfassung auf der Website

Kontaktaufnahme: Wenn Sie uns über Formulare, E-Mail oder Telefon kontaktieren, bearbeiten wir die übermittelten Daten (Name, Firma, E-Mail, Telefon, Anliegen) zur Bearbeitung Ihrer Anfrage.

Server-Log-Dateien: Beim Besuch werden technische Daten durch den Hosting-Provider erfasst (IP-Adresse, Datum/Uhrzeit, Browsertyp, Betriebssystem, Referrer-URL, Hostname). Diese dienen der Systemsicherheit und der Abwehr von Angriffen.

Cookies und ähnliche Technologien: Wir setzen technisch notwendige Cookies sowie — mit Ihrer Einwilligung — Analyse- und Marketing-Cookies ein. Sie können Ihre Einstellungen jederzeit über das Cookie-Banner oder Ihren Browser anpassen.

5. Datenbearbeitung im Rahmen von BF POS

• Kundendaten des Händlers (Name, Adresse, UID, Bankverbindung)
• Mitarbeiterdaten (Login, Rollen, Arbeitszeiten falls erfasst)
• Endkundendaten (Name, Kontaktinformationen, Treueprogramm)
• Transaktionsdaten (Zahlungen, Bestellungen, Belege, MWST-Sätze)
• Inventar- und Produktdaten
• Nutzungs- und Systemdaten zur Sicherstellung des Betriebs

6. BF Payments — Datenbearbeitung bei Zahlungstransaktionen

Bei der Nutzung von BF Payments werden zusätzliche Daten erhoben und an die jeweiligen Zahlungsdienstleister weitergegeben. Die BF Solutions GmbH tritt hierbei als Vermittler auf; die eigentliche Zahlungsabwicklung und Datenverantwortung für die Transaktion liegt beim jeweiligen Acquirer.

Bearbeitete Daten im Rahmen von BF Payments:

• Identifikationsdaten des Händlers (KYB: Handelsregisterauszug, UID, wirtschaftlich Berechtigte gemäss GwG)
• Kartendaten und Wallet-Token (PCI-DSS-konform, ausschliesslich beim Acquirer gespeichert)
• Transaktionsdaten (Betrag, Währung, Zeitpunkt, Terminal-ID, MCC)
• Auszahlungsdaten (IBAN, Auszahlungsbeträge, Reporting)
• Risiko- und Betrugspräventionsdaten

7. Eingesetzte Zahlungsdienstleister und Drittanbieter

Im Rahmen von BF Payments und ergänzender Dienste arbeiten wir mit folgenden Anbietern zusammen. Es gelten jeweils deren eigene Datenschutzbestimmungen:

• Stripe Payments Europe Ltd. (Irland / USA) — Acquiring & Auszahlung · stripe.com/ch/privacy
• Adyen N.V. (Niederlande) — Karten- und Wallet-Acquiring · adyen.com/privacy
• Worldline Schweiz AG (Schweiz) — Karten-Acquiring · worldline.com/privacy
• Nexi Payments SpA (Italien / Schweiz) — Karten-Acquiring · nexi.it/privacy
• wallee AG (Schweiz) — Payment-Gateway & Terminal-Vermittlung · wallee.com/datenschutz
• Payrexx AG (Schweiz) — Payment-Gateway & TWINT-Vermittlung · payrexx.com/datenschutz
• TWINT AG (Schweiz) — Mobile-Payment-Abwicklung · twint.ch/datenschutz

8. Weitere Auftragsbearbeiter

• Cloud-Hosting in der Schweiz und EU (z. B. Hetzner, Exoplanet, AWS Frankfurt)
• E-Mail- und Kommunikations-Dienstleister
• Buchhaltungs- und Treuhand-Schnittstellen (z. B. bexio, Abacus, KLARA, Banana)
• Support- und Ticketing-Tools
• Analyse-Tools (nur mit Einwilligung)

Mit allen Auftragsbearbeitern bestehen Auftragsbearbeitungsverträge (ABV / DPA) gemäss Art. 9 revDSG bzw. Art. 28 DSGVO.

9. Datenübermittlung ins Ausland

Eine Übermittlung in Länder ausserhalb der Schweiz oder des EWR (Drittstaaten) erfolgt nur, sofern ein angemessenes Datenschutzniveau gemäss Anhang 1 DSV besteht oder geeignete Garantien (EU-Standardvertragsklauseln, Schweizer Ergänzungen des EDÖB, Binding Corporate Rules) vereinbart wurden. Bei Übermittlungen in die USA stützen wir uns — sofern anwendbar — auf das Swiss-U.S. Data Privacy Framework.

10. Aufbewahrungsdauer

Personendaten werden nur so lange gespeichert, wie dies zur Erfüllung der jeweiligen Zwecke erforderlich ist. Buchungs- und Transaktionsbelege werden gemäss Art. 958f OR sowie Art. 70 MWSTG während 10 Jahren aufbewahrt. KYC-Daten werden gemäss Art. 7 GwG während 10 Jahren nach Beendigung der Geschäftsbeziehung aufbewahrt.

11. Datensicherheit

Wir treffen angemessene technische und organisatorische Sicherheitsmassnahmen gemäss Art. 8 revDSG und Art. 1–6 DSV (Pseudonymisierung, Verschlüsselung, Zugangs- und Berechtigungskontrollen, Backups, Monitoring). Die Datenübertragung erfolgt verschlüsselt mittels SSL-/TLS-Technologie. Kartendaten werden nach PCI-DSS Level 1 verarbeitet.

12. Meldung von Verletzungen der Datensicherheit

Datenschutzverletzungen mit hohem Risiko werden gemäss Art. 24 revDSG sowie Art. 33/34 DSGVO unverzüglich dem EDÖB, gegebenenfalls den EU-Aufsichtsbehörden und den betroffenen Personen gemeldet.

13. Ihre Rechte

• Auskunft über Ihre gespeicherten Personendaten (Art. 25 revDSG)
• Berichtigung unrichtiger Daten (Art. 32 revDSG)
• Löschung oder Vernichtung von Daten
• Einschränkung der Bearbeitung
• Datenherausgabe und Datenübertragbarkeit (Art. 28 revDSG)
• Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
• Widerspruch gegen Direktwerbung

Sie haben zudem das Recht, beim Eidgenössischen Datenschutz- und Öffentlichkeitsbeauftragten (EDÖB) in Bern bzw. bei der zuständigen EU-Aufsichtsbehörde Beschwerde einzureichen.

14. Automatisierte Einzelentscheidungen und Profiling

Im Rahmen der Betrugsprävention und KYC-Prüfung von BF Payments können automatisierte Risikobewertungen durch die Zahlungsdienstleister durchgeführt werden (Art. 21 revDSG). Sie haben das Recht, eine manuelle Überprüfung zu verlangen und Ihren Standpunkt darzulegen.

15. Änderungen

Wir behalten uns vor, diese Datenschutzerklärung jederzeit anzupassen. Es gilt die jeweils auf bfpos.ch veröffentlichte Version.