Datenschutzrichtlinie
Zuletzt aktualisiert: 1. Januar 2026
Preamble
INSTYTUTUM AG is a company registered in Switzerland with the main office at Gubelstrasse 12, 6300 Zug, company Enterprise Identification Number (UID): CHE-440.903.330 (“we”, “our”, “us”) that operates this Website https://instytutum.com/en/ (the “Website”).
Protection of your personal data is very important to us. We are committed to protecting the privacy of individuals who visit the Website and use its online facilities. In this Privacy Policy, we would like to inform you of all the details of the collection, processing, and use of personal data.
This Privacy Policy describes how we collect, use, and disclose your personal information when you visit our Website, use our services, make a purchase from the Website, or otherwise communicate with us (collectively, the "Services").
You can be a website visitor, a customer, or an AI skin analysis user:
You are a website visitor when you merely browse the Website and provide us with your data via cookies or contact us via online chat, email, phone, our social media accounts (including Instagram, Facebook, and WhatsApp), or fill out online forms on the Website (including requests for consultations, subscriptions for newsletters, the “email us” form, the “leave a review” form, and other types of forms).
You are a customer when you submit your personal data to register on the Website, provide your data when you make a purchase via our Website (including as a guest without registering on the Website), and contact us via available options for assistance.
You are an AI skin analysis user when you submit your personal data for AI skin analysis.
We kindly ask you to read this Privacy Policy carefully to fully understand our practices in relation to your personal data.
Definitions
We use the following definitions in this Privacy Policy:
“controller” means the natural or legal person who (either alone or jointly with others) determines the purposes and means of the processing of personal data.
“processor” means a natural or legal person who processes personal data on behalf of the controller.
“data subject” is an identified or identifiable natural person about whom we hold personal data.
“personal data” means any information relating to you and helping identify you (directly or indirectly), such as a name, email, address, etc.
“processing” means any operation or set of operations which is performed on personal data or on sets of personal data, whether or not by automated means, such as collection, recording, organisation, structuring, storage, adaptation or alteration, retrieval, consultation, use, disclosure by transmission, dissemination or otherwise making available, alignment or combination, restriction, erasure or destruction.
“GDPR”: European Union’s General Data Protection Regulation.
“CCPA”: the California Consumer Privacy Act.
“CPRA”: the California Privacy Rights Act.
“EU Data Act”: Regulation (EU) 2023/2854 of the European Parliament and of the Council of 13 December 2023 on harmonised rules on fair access to and use of data and amending Regulation (EU) 2017/2394 and Directive (EU) 2020/1828.
“AI Act”: a European Union regulation concerning artificial intelligence (AI).
“Data Governance Act”: Regulation (EU) 2022/868 of the European Parliament and of the Council of 30 May 2022 on European data governance and amending Regulation (EU) 2018/1724.
Identity and contact details of the data controller
When processing your personal data in situations described in this Privacy Policy, we act as a controller under the GDPR and other applicable legislation.
INSTYTUTUM AG is a company incorporated and existing under the laws of the Swiss Confederation with Enterprise Identification Number (UID) CHE-440.903.330.
Our address: Gubelstrasse 12, 6300 Zug, Switzerland;
Our telephone number: +41 41 511 20 50;
Our email: [email protected].
Data collection
We collect your personal data when you:
visit our Website;
contact us via online chat, email, phone, or our social media accounts;
fill out online forms on the Website;
register on the Website;
make a purchase via our Website;
subscribe to newsletters;
request for assistance;
leave a review;
request for AI skin analysis;
voluntarily provide your data, including any other instances on the Website where you knowingly choose to share your personal data.
Providing your contact details for registration, payment, and transaction information is necessary to enter into or perform a contract with you in the meaning of the GDPR. For example, if you refuse to provide your address when ordering our products, the products cannot be delivered to you.
We collect website visitor data, customer data, and AI skin analysis user data in connection with our Website and Services:
Visitor data | ||
Type of data | Description | Collected personal data |
(a) Contact Information | When you contact us via online chat, our social media, email address, or phone number, fill out online forms on our Website, or subscribe to newsletters, we may collect some information about you. | Such data may include your full name, email address, phone number, country of residence, your name and information on social media, and any other details you provide to us via available options. |
(b) Cookies information | On our Website, we may use cookies to function correctly, for analytics, marketing activities, remembering your preferences, and other purposes. | For example, we can collect usage information (pages you have viewed on our Website, search terms and search results, and other information regarding your use of the Website) for analytics purposes. To learn more regarding our use of cookies, please read our Cookies Policy. |
(c) Automatically Collected Information | When you access the Website, we collect certain information about you and your device automatically. We may use this information for technical administration of our Website, analytic tracking system, research and development, monitoring, and improvement of our Website. | This information may include the domain name and IP address of your computer, server log files, type of browser you are using, operating system and platform, technical information, geographical location, information about your visit to our Website (length of visit, products you viewed, page response time, navigation paths, as well as information about the timing, frequency, and pattern of your service use, etc.). |
Customer data | ||
(d) Customer Information | We may process your contact information relating to our customer relationships and other information you provide us with, in particular, when registering on the Website. We may process this information to manage our relationships with customers and communicate with them, keep records of those communications, and promote our services. | It may include your full name, place of residence (country, region, city, address, and postcode), contact details (email address, phone number, fax), your company name, mailing address when you make purchases, and information contained in communications between you and us. |
(e) Transactions and Payment Information | If you make a purchase via our Website, you will need to provide certain personal details. To obtain payment from you, we will use or direct you to a third-party payment processor who will collect this information from you and process your payment. Please note that a third-party payment processor is responsible for all collection, processing, and storage of your financial information, and we do not have direct access to or possession of your payment card information or banking information. | It includes your contact details, billing address, your card details, expiration date, and transaction details so that the order can be fulfilled. |
AI skin analysis user data | ||
(f) AI skin analysis data | When you fill out the online form for conducting AI skin analysis, we may process some information about you to provide you with this service. | Such data may include your email, phone number, age, and information concerning your health (skin sensitivity, pregnancy or breastfeeding, your pictures, and results of skin analysis, etc.). |
Wenn wir als Datenverantwortlicher agieren:
verkaufen wir Ihre Daten NICHT;
verwenden wir KEINE automatisierte Entscheidungsfindung, einschließlich Profiling, die rechtliche Auswirkungen auf eine betroffene Person hat oder eine betroffene Person in ähnlicher Weise erheblich beeinträchtigt.
E-Mail-Retargeting (Einhaltung des US-amerikanischen CAN-SPAM-Gesetzes)
Wir können kommerzielle E-Mails, Produktaktualisierungen, Remarketing- und Retargeting-Nachrichten an E-Mail-Adressen senden, die wir über unsere Website, unser CRM oder unsere Marketingpartner erhalten haben. Alle E-Mails an Empfänger in den USA werden in Übereinstimmung mit dem CAN-SPAM Act versendet und enthalten: unsere Absenderidentifikation, eine gültige physische Adresse, eine klare Betreffzeile und eine leicht zugängliche Abmeldeoption. Sie können sich jederzeit von zukünftigen E-Mails abmelden, indem Sie den in jeder Nachricht enthaltenen Abmeldelink verwenden.
Rechtsgrundlagen der Verarbeitung
Wir verarbeiten Ihre personenbezogenen Daten in Übereinstimmung mit der DSGVO. Die DSGVO enthält eine abschließende Liste zulässiger Rechtsgrundlagen, die uns die Verarbeitung Ihrer personenbezogenen Daten erlauben. Bei der Verarbeitung personenbezogener Daten stützen wir uns ausschließlich auf vier dieser Rechtsgrundlagen, nämlich:
Artikel 6 Abs. 1 lit. a: Einwilligung
Wir erheben die Informationen, die Sie uns freiwillig zur Verfügung stellen, und verarbeiten diese auf Grundlage Ihrer Einwilligung. Besondere Kategorien personenbezogener Daten (insbesondere Gesundheitsdaten im Zusammenhang mit der Durchführung einer KI-Hautanalyse) verarbeiten wir auf Grundlage Ihrer ausdrücklichen Einwilligung (Artikel 9 Abs. 2 lit. a).
Sie können Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten jederzeit widerrufen.
Bitte beachten Sie, dass der Widerruf der Einwilligung NICHT automatisch bedeutet, dass die bis zum Widerruf erfolgte Verarbeitung unrechtmäßig war. Sie können Ihre Einwilligung zur Verarbeitung Ihrer personenbezogenen Daten widerrufen, indem Sie uns eine E-Mail an [email protected] senden oder uns auf eine andere für Sie bequeme Weise kontaktieren.
Artikel 6 Abs. 1 lit. f: Berechtigtes Interesse
Wir verarbeiten Ihre personenbezogenen Daten zur Wahrung unserer berechtigten Interessen, wie zum Beispiel:
Verhinderung von Betrug,
Gewährleistung der Sicherheit unserer Website sowie
Sicherstellung der Funktionsfähigkeit unserer Website.
Wir erheben und verwenden ausschließlich die zur Erreichung dieser Zwecke unbedingt erforderlichen Daten und greifen dabei nicht in Ihre grundlegenden Rechte und Freiheiten ein.
Artikel 6 Abs. 1 lit. b: Erfüllung eines Vertrags
Wenn Sie uns personenbezogene Daten zur Verfügung stellen, um Produkte auf unserer Website zu erwerben, kann dies als Anfrage zum Abschluss oder zur Erfüllung eines Vertrags zwischen Ihnen und uns angesehen werden. Im Zweifelsfall können wir Sie jedoch um eine ausdrückliche Einwilligung bitten.
Artikel 6 Abs. 1 lit. c: Rechtliche Verpflichtung
Wir verarbeiten Ihre personenbezogenen Daten zur Erfüllung unserer gesetzlichen Verpflichtungen, beispielsweise zur Einhaltung steuerlicher oder regulatorischer Anforderungen. Wenn Sie uns eine Anfrage zur Ausübung Ihrer Rechte gemäß DSGVO senden, können wir Sie um einige der bereits bei uns vorhandenen personenbezogenen Daten bitten, um Sie zu identifizieren und die Einhaltung der geltenden gesetzlichen Bestimmungen sicherzustellen.
Verwendung Ihrer personenbezogenen Daten
Wenn wir als Verantwortlicher handeln, verwenden wir Ihre personenbezogenen Daten für die in der nachstehenden Tabelle aufgeführten Zwecke; dort führen wir zudem die Art der verarbeiteten personenbezogenen Daten sowie die Rechtsgrundlagen auf, auf die wir uns hierfür stützen.
Zweck der Verarbeitung | Art der personenbezogenen Daten | Rechtsgrundlagen | Drittanbieter-Empfänger | Quelle |
Erstellung eines Kontos auf der Website | (d) Kundeninformationen | Erfüllung eines Vertrags (Artikel 6 Abs. 1 lit. b) | Google Oauth, Microsoft Oauth, Apple Oauth, Mailgun, Google ReCaptcha, ABM, Zoho CRM, eSputnik, Google Postgres-Google Cloud SQL | Kunde |
Verwaltung des Kontos auf der Website | (d) Kundeninformationen | Erfüllung eines Vertrags (Artikel 6 Abs. 1 lit. b) | ABM, Zoho CRM, Mailgun, eSputnik, Google Oauth, Microsoft Oauth, Apple Oauth, Google ReCaptcha | Kunde |
Erbringung von Dienstleistungen | (d) Kundeninformationen (e) Transaktions- und Zahlungsinformationen | Erfüllung eines Vertrags (Artikel 6 Abs. 1 lit. b) | Zoho CRM, Valdo, James, NovaPoshta, ABM, eSputnik, Our warehouse, carriers, forwarders, and customs brokers | Kunde |
Abwicklung von Zahlungen | (e) Transaktions- und Zahlungsinformationen | Erfüllung eines Vertrags (Artikel 6 Abs. 1 lit. b) | WayForPay, PayPal, Stripe (+Klarna), Foloosi | Kunde |
Durchführung einer KI-Hautanalyse | (f) Daten der KI-Hautanalyse | Ihre Einwilligung (Artikel 6 Abs. 1 lit. a) Ausdrückliche Einwilligung (Artikel 9 Abs. 2 lit. a) | Google Cloud Storage, Google Pub/Sub, Google ReCaptcha | Website-Besucher Kunde |
Kommunikation mit Kunden und Website-Besuchern (einschließlich Beantwortung von Anfragen und Anliegen, Kundenservice, Bearbeitung von Beschwerden und Unterstützung bei der Produktauswahl) | (a) Kontaktinformationen (d) Kundeninformationen | Ihre Einwilligung (Artikel 6 Abs. 1 lit. a) Erfüllung eines Vertrags (Artikel 6 Abs. 1 lit. b) | eSputnik, Mailgun, Zoho CRM, ABM, Google Cloud SQL,Instagram | Website-Besucher Kunde |
Analyse, Entwicklung und Wartung der Website | (a) Kontaktinformationen (b) Cookie-Informationen (c) Analyse, Entwicklung und Wartung der Website (d) Kundeninformationen | Ihre Einwilligung (Artikel 6 Abs. 1 lit. a) Unser berechtigtes Interesse (Artikel 6 Abs. 1 lit. f) | Google Analytics, BigQuery, Sentry, Google Tag Manager, Google Search Console, Cloudflare, CookieHub, Google CDN, Hotjar | Website-Besucher Kunde |
Marketingaktivitäten | (a) Kontaktinformationen (b) Cookie-Informationen (d) Kundeninformationen | Ihre Einwilligung (Artikel 6 Abs. 1 lit. a) | Google Ads, Meta, eSputnik | Website-Besucher Kunde |
Verwaltung von Bewertungen | (a) Kontaktinformationen (namentlich Name, E-Mail, Bewertung und Beurteilung) | Ihre Einwilligung (Artikel 6 Abs. 1 lit. a) | Google Cloud SQL, Google Cloud Storage | Website-Besucher Kunde |
Sicherheit und Betrugsprävention | (b) Cookie-Informationen (c) Analyse, Entwicklung und Wartung der Website (d) Kundeninformationen | Unser berechtigtes Interesse (Artikel 6 Abs. 1 lit. f) | Cloudflare, Google ReCaptcha, Sentry, CookieHub, Google Cloud Console | Website-Besucher Kunde |
Einhaltung gesetzlicher Vorschriften oder rechtlicher Verfahren | (a) Kontaktinformationen (b) Cookie-Informationen (c) Analyse, Entwicklung und Wartung der Website (d) Kundeninformationen (e) Transaktions- und Zahlungsinformationen (f) Daten der KI-Hautanalyse | Gesetzliche Verpflichtung (Artikel 6 Abs. 1 lit. c) | Zoho CRM, WayForPay, PayPal, Stripe (+Klarna), Foloosi, Cloudflare Hotjar Google Ads eSputnik Cloudflare Google Tag Manager BigQuery Our warehouse, carriers, forwarders, and customs brokers | Website-Besucher Kunde |
KI-Hautanalyse
Bei der Beantragung der KI-Hautanalyse teilen Sie uns freiwillig Gesundheitsdaten mit, insbesondere Informationen zu Ihrer Hautempfindlichkeit, Schwangerschaft oder Stillzeit. Auf Grundlage dieser Informationen und Ihrer Fotos erhalten wir die Ergebnisse Ihrer Hautanalyse und teilen Ihnen diese sowie ein personalisiertes Hautpflegeprogramm mit.
Gemäß Artikel 9 der DSGVO gelten Gesundheitsdaten als besondere Kategorie personenbezogener Daten, deren Verarbeitung nur unter bestimmten Bedingungen zulässig ist. Daher holen wir Ihre ausdrückliche Einwilligung für diese Verarbeitung ein.
Sie können Ihre Einwilligung jederzeit durch eine Anfrage an [email protected] widerrufen.
Wir speichern die relevanten Daten nur zum Zweck der Bereitstellung dieses Services. Alle im Rahmen der KI-Hautanalyse bereitgestellten Daten werden ein Jahr nach Bereitstellung der Analyseergebnisse gelöscht oder auf Wunsch früher. Sie können jederzeit die Löschung dieser Daten unter [email protected] beantragen.
Für die Nutzung des Services müssen Sie bestätigen, dass Sie mindestens 18 Jahre alt sind.
Bitte beachten Sie, dass dieser Service keine medizinische Beratung, Diagnose oder Behandlung bietet. Die Empfehlungen sind kosmetischer Natur und ersetzen keine professionelle medizinische Beratung.
Unser KI-Hautanalyse-Tool fällt unter die Definition eines „KI-Systems“ gemäß dem KI-Gesetz. Wir stellen daher die folgenden Pflichtinformationen bereit:
Das für die Hautanalyse verwendete KI-Tool führt automatisierte Mustererkennung auf von Ihnen freiwillig hochgeladenen Bildern durch.
Das Tool führt keine biometrische Identifizierung oder Kategorisierung durch und wird nicht für medizinische oder rechtliche Entscheidungen verwendet.
Menschliche Aufsicht ist jederzeit gewährleistet: Unsere Spezialisten können die KI-Empfehlungen überprüfen, und Sie können jederzeit eine manuelle Überprüfung anfordern.
Die Ergebnisse dienen ausschließlich der kosmetischen Beratung und nicht der Diagnose.
Sie haben das Recht, die KI-Verarbeitung abzulehnen und eine nicht-KI-Alternative (manuelle Überprüfung oder allgemeine Produktempfehlungen) anzufordern.
Sie werden jederzeit klar informiert, wenn Sie mit einem KI-System interagieren, und können sich weigern, Fotos oder gesundheitsbezogene Daten bereitzustellen.
Für die durch Ihre Interaktion mit unserem KI-Hautanalyse-Service generierten Daten gelten die Grundsätze des Data Act:
Sie können Zugriff auf alle von Ihnen bereitgestellten Daten sowie auf die vom System generierten Daten der KI-Analyse anfordern.
Auf Wunsch können diese Daten in einem strukturierten, gebräuchlichen und maschinenlesbaren Format an ein anderes Unternehmen oder einen Dienstleister übermittelt werden.
Systemgenerierte KI-Analysedaten werden nur geteilt, wenn dies zur Bereitstellung des Services erforderlich ist oder Sie ausdrücklich zustimmen.
Ihre Daten werden nicht ohne Ihre ausdrückliche, informierte Zustimmung zur Schulung von KI-Modellen verwendet, soweit dies erforderlich ist.
Ihre personenbezogenen Daten (einschließlich hochgeladener Fotos oder gesundheitsbezogener Informationen) werden nicht zur Schulung, Verbesserung oder Verfeinerung von KI-Modellen verwendet, es sei denn, Sie erteilen eine separate ausdrückliche Einwilligung. Schulungen erfolgen ausschließlich mit synthetischen Daten, anonymisierten Datensätzen oder Daten, für die eine ausdrückliche Einwilligung zur Nutzung zu Trainingszwecken vorliegt.
Das KI-System liefert ausschließlich kosmetische Empfehlungen. Diese Empfehlungen sind unverbindlich, und keine Entscheidungen mit rechtlich oder ähnlich bedeutsamen Auswirkungen werden ausschließlich auf Grundlage der automatisierten Verarbeitung getroffen.
Weitergabe und Offenlegung von Daten
Wir können Ihre personenbezogenen Daten als Verantwortlicher an gemeinsam Verantwortliche, andere Verantwortliche und Auftragsverarbeiter gemäß den nachfolgend beschriebenen Bestimmungen weitergeben.
Weitergabe personenbezogener Daten an gemeinsam Verantwortliche (andere Verantwortliche)
Wir handeln als gemeinsam Verantwortlicher in Zusammenarbeit mit Facebook (Meta Platforms Ireland Limited), zum Beispiel bei der Nutzung von Facebook Pixel. In Bezug auf diese Datenverarbeitung sind wir Vertragspartei des Facebook Controller Addendum.
Google LLC und wir handeln als unabhängige Verantwortliche für personenbezogene Daten im Rahmen der digitalen Marketingdienste von Google LLC, wie z. B. Google Ads. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.
Wenn wir als gemeinsam Verantwortliche für eine bestimmte Verarbeitung personenbezogener Daten auftreten, kann die betroffene Person ihre Rechte gemäß DSGVO gegenüber beiden gemeinsam Verantwortlichen ausüben.
Weitergabe personenbezogener Daten an Auftragsverarbeiter
Wir können Ihre personenbezogenen Daten an Auftragsverarbeiter weitergeben, die Dienstleistungen in unserem Auftrag und nach unseren Anweisungen erbringen („Dienstleister“), soweit dies zur Risikoverwaltung, zur Einholung professioneller Beratung und zur Erbringung von Dienstleistungen angemessen erforderlich ist.
Wir können Ihre Lieferadresse und Telefonnummer an unser Lager, Spediteure, Frachtführer, Zollagenten und Versanddienstleister weitergeben, um Ihre Bestellungen zu bearbeiten, zu erfüllen, zu verwalten und mit Ihnen zu kommunizieren.
Zudem können wir Ihre personenbezogenen Daten an weitere Dienstleister weitergeben oder offenlegen:
Google Ireland Limited (Irland) – einschließlich Google Cloud SQL, Google Cloud Storage, Google Pub/Sub, Google CDN, BigQuery, Google Analytics, Google Tag Manager, Google Search Console, Google Ads, Google OAuth und Google reCAPTCHA. Datenschutzrichtlinie: [Link]
Microsoft Ireland Operations Limited (Irland) – Microsoft OAuth Authentifizierungsdienste. Datenschutzrichtlinie: [Link]
Apple Inc. (USA) – Apple Sign-In (OAuth) Authentifizierungsdienste. Datenschutzrichtlinie: [Link]
Apple Payments Inc. (USA) – Apple Pay Zahlungsdienste. Datenschutzrichtlinie: [Link]
Zoho Corporation B.V. (Niederlande) – Zoho CRM Kundenbeziehungsmanagement. Datenschutzrichtlinie: [Link]
Mailgun Technologies, Inc. (USA) – transaktionale und servicebezogene E-Mail-Dienste
LLC „ESPUTNYK“ (Ukraine) – eSputnik Marketing-Automatisierung und E-Mail-Marketing. Datenschutzrichtlinie: [Link]
Meta Platforms Ireland Ltd. (Irland) – Facebook- und Instagram-Werbung sowie Social-Media-Integration. Datenschutzrichtlinie: [Link]
WhatsApp Ireland Limited (Irland) – Kundenkommunikationsdienste. Datenschutzrichtlinie: [Link]
WayForPay LLC (Ukraine) – Online-Zahlungsabwicklung. Datenschutzrichtlinie: [Link]
Stripe Payments Europe Ltd. (Irland) – Online-Zahlungsabwicklung. Datenschutzrichtlinie: [Link]
PayPal (Europe) S.à r.l. et Cie, S.C.A. (Luxemburg) – Zahlungsabwicklung. Datenschutzrichtlinie: [Link]
Foloosi Payment Services (VAE) – Online-Zahlungsabwicklung. Datenschutzrichtlinie: [Link]
Nova Poshta LLC (Ukraine) – Versand- und Lieferdienste. Datenschutzrichtlinie: [Link]
Sentry (Functional Software, Inc., USA) – Anwendungsüberwachung und Fehlerverfolgung. Datenschutzrichtlinie: [Link]
Hotjar Ltd. (Malta) – Website-Analyse und Nutzerverhaltensanalyse. Datenschutzrichtlinie: [Link]
CookieHub ehf. (Island) – Verwaltung der Cookie-Einwilligung. Datenschutzrichtlinie: [Link]
Cloudflare, Inc. (USA) – Content-Delivery-Netzwerk (CDN) und Website-Sicherheit. Datenschutzrichtlinie: [Link]
Externe Spediteure, Frachtführer und Zollagenten – Logistik- und Zollabfertigungsdienste, soweit zutreffend
Links zu Websites Dritter
Diese Datenschutzrichtlinie gilt nur für diese Website und nicht für andere Websites. Wir empfehlen dringend, die Datenschutzrichtlinien von Websites zu prüfen, die Sie über Links auf dieser Website erreichen. Wir haben keine Kontrolle über Inhalte und Praktiken anderer Websites und übernehmen daher keine Verantwortung für Handlungen oder Richtlinien Dritter.
Wir stellen Ihre personenbezogenen Daten nicht für „Data Altruism“ oder die Wiederverwendung durch öffentliche Stellen gemäß dem Data Governance Act bereit, es sei denn, Sie erteilen eine ausdrückliche Zustimmung über ein separates Formular.
Datenübermittlung in Drittländer
Wir können Ihre personenbezogenen Daten in Länder außerhalb der Europäischen Union (EU) und des Europäischen Wirtschaftsraums (EWR) übermitteln, die nach Artikel 45 DSGVO (Angemessenheitsbeschluss) kein angemessenes Datenschutzniveau gewährleisten.
In solchen Fällen stellen wir sicher, dass geeignete Schutzmaßnahmen gemäß DSGVO umgesetzt werden, um Ihre personenbezogenen Daten zu schützen, insbesondere die von der Europäischen Kommission verabschiedeten Standardvertragsklauseln. Wenn wir Ihre personenbezogenen Daten an Dritte übermitteln, halten wir stets die Anforderungen der DSGVO ein. Soweit möglich, schließen wir mit diesen Dritten Datenverarbeitungsverträge (DPAs) und Vertraulichkeitsvereinbarungen (NDAs) ab, um den Schutz Ihrer personenbezogenen Daten sicherzustellen.
Beim Transfer von Daten außerhalb der EU und des EWR setzen wir zusätzliche technische und organisatorische Maßnahmen ein, z. B. eine vorherige Prüfung der Zuverlässigkeit und Datenschutzpraktiken des Dienstleisters, Verschlüsselung der übermittelten personenbezogenen Daten, sofortiges Reagieren auf jegliche Bedrohungen für Vertraulichkeit, Integrität und Verfügbarkeit der Daten sowie, falls erforderlich, Durchführung von Transferfolgenabschätzungen (TIA).
Bei der Übermittlung personenbezogener Daten außerhalb der EU/EWR:
Führen wir eine Transferfolgenabschätzung (TIA) gemäß den Empfehlungen des EDSA 01/2020 durch;
Wenden wir zusätzliche Verschlüsselungs- und Pseudonymisierungsmaßnahmen an, um die Identifizierbarkeit der Daten zu reduzieren;
Verpflichten wir die Empfänger in Drittländern vertraglich, uns über behördliche Zugriffsanforderungen zu informieren und diese, soweit rechtlich zulässig, anzufechten.
Datenspeicherung
Als Verantwortlicher speichern und verarbeiten wir Ihre personenbezogenen Daten, solange wir sie für die in dieser Datenschutzrichtlinie definierten Zwecke benötigen, es sei denn, es ist gesetzlich eine längere Aufbewahrungsfrist vorgeschrieben oder ausdrücklich erlaubt. Wir dürfen Ihre Daten nicht löschen oder anonymisieren, wenn wir sie zur Einhaltung gesetzlicher Vorschriften oder rechtlicher Verfahren aufbewahren müssen.
Bezüglich der im Kundenkonto gespeicherten Daten löschen wir Ihre personenbezogenen Daten, wenn Sie die Löschung des Kontos beantragen oder wenn das Konto 3 Jahre ab dem Datum der letzten Bestellung inaktiv ist.
Sie können die Löschung Ihrer personenbezogenen Daten über folgenden Link beantragen: I would like to delete all my personal data.
Alternativ können Sie uns eine E-Mail an [email protected] senden oder uns auf eine andere für Sie bequeme Weise kontaktieren.
Ihre Rechte nach der DSGVO
In diesem Abschnitt haben wir die Rechte zusammengefasst, die Ihnen gemäß DSGVO zustehen. Einige Rechte sind komplex, und nicht alle Einzelheiten sind in unseren Zusammenfassungen enthalten. Daher sollten Sie die einschlägigen Gesetze und die Anleitungen der Aufsichtsbehörden für eine vollständige Erklärung dieser Rechte lesen.
Sie können die folgenden Rechte ausüben, indem Sie eine Anfrage als betroffene Person an [email protected] senden.
Bitte beachten Sie, dass wir möglicherweise Ihre Identität bestätigen müssen, um Ihre Anfragen zur Ausübung Ihrer Rechte gemäß DSGVO zu bearbeiten. Wenn Sie uns nicht ausreichende Informationen zur Identitätsprüfung bereitstellen, können wir Ihre Anfrage möglicherweise nicht erfüllen.
Right under the GDPR | Description | How to exercise it |
Recht auf Auskunft (Art. 13, 14) | Sie als betroffene Person haben das Recht, über die Erhebung und Nutzung Ihrer personenbezogenen Daten informiert zu werden. | Alle Informationen über unsere Erhebung und Nutzung Ihrer personenbezogenen Daten finden Sie in dieser Datenschutzrichtlinie, in der Cookie-Richtlinie sowie in den Allgemeinen Geschäftsbedingungen. |
Recht auf Zugang (Art. 15) | Sie haben das Recht zu bestätigen, ob Ihre personenbezogenen Daten von uns verarbeitet werden, und auf diese Daten sowie auf bestimmte Informationen zuzugreifen. | Sie können eine Anfrage stellen. |
Recht auf Berichtigung (Art. 16) | Sie haben das Recht, unrichtige personenbezogene Daten über Sie berichtigen zu lassen. Außerdem haben Sie das Recht, unvollständige personenbezogene Daten vervollständigen zu lassen. | Sie können eine Anfrage stellen. |
Right to erasure (‘right to be forgotten’) (Art.17) | You have the right to have your personal data deleted without undue delay where one of the following grounds applies:
| You can submit a request, including via a dedicated form: I would like to delete all my personal data. |
Right to restriction of processing (Art. 18) | You can limit the way in which we use your data where one of the following applies:
| Sie können eine Anfrage stellen. Where processing has been restricted on this basis, we may continue to store your personal data. However, we will only otherwise process it:
|
Right to data portability (Art. 20) | You have the right to receive your personal data in a structured, commonly accepted, and machine-readable format and have the right to request that we transmit this data directly to another controller to the extent that the legal basis for our processing of your personal data is your consent or performance of a contract and the processing is carried out by automated means. | Sie können eine Anfrage stellen. |
Right to object (Art. 21) | You have the right to object to our processing of your personal data at any time to the extent that the processing is based on point (e) or (f) of Article 6(1), including profiling based on those provisions. Also, you have the right to object to our processing of your personal data for direct marketing purposes (including profiling). | Sie können eine Anfrage stellen. |
Right not to be subject to a decision based solely on automated processing, including profiling (Art. 22) | This right restricts us from making solely automated decisions, including those based on profiling, which produce legal or other significant effects for data subjects. | We DO NOT use automated decision-making and profiling. |
Right to withdraw consent (Art. 7) | You can withdraw your consent at any time. | Sie können eine Anfrage stellen. |
Sie können eine Anfrage stellen.Right to lodge a complaint (Art. 77) | You have the right to lodge a complaint with the supervisory authority if you believe that the processing of your personal data violates the requirements of the GDPR. | You can submit the complaint in the EU member state of your place of habitual residence or to the data protection authority stated in this Privacy Policy. |
Right to compensation (Art. 82) | Any person who has suffered material or moral damage as a result of a violation of GDPR requirements has the right to receive compensation from the controller or processor for the caused damage. | Court proceedings for exercising the right to receive compensation shall be brought before the courts competent under the law of the EU Member State referred to in Article 79(2). |
Datenschutzbehörde gemäß DSGVO
Wir laden Sie freundlich ein, sich zunächst direkt an uns zu wenden, wenn Sie Fragen oder Bedenken bezüglich der Verarbeitung Ihrer personenbezogenen Daten haben. Sie können dazu folgende Kontaktmöglichkeit nutzen: [email protected].
In bestimmten Fällen haben Sie das Recht, eine Beschwerde über die Verarbeitung Ihrer personenbezogenen Daten bei einer Datenschutzbehörde einzureichen. Für weitere Informationen wenden Sie sich bitte an die nationale Datenschutzbehörde Ihres Landes. Wir werden mit den zuständigen Behörden zusammenarbeiten, um Beschwerden im Bereich Datenschutz zu klären, die nicht einvernehmlich zwischen Ihnen und uns gelöst werden können. Eine vollständige Liste der EU-Aufsichtsbehörden finden Sie über diesen Link.
Ihre Rechte nach dem CCPA
Wenn Sie in Kalifornien ansässig sind, stehen Ihnen im Rahmen des California Consumer Privacy Act (CCPA) und vorbehaltlich geltender Ausnahmen folgende Rechte in Bezug auf die von uns verarbeiteten personenbezogenen Daten zu:
Recht auf Informationszugang: Sie können Auskunft darüber verlangen, welche personenbezogenen Daten über Sie in den letzten 12 Monaten gesammelt wurden und wie wir diese verwendet haben.
Recht auf Zugang: Sie können eine Kopie der personenbezogenen Daten anfordern, die wir in den letzten 12 Monaten über Sie gesammelt haben.
Recht auf Löschung: Sie können verlangen, dass wir die personenbezogenen Daten, die wir über Sie gesammelt haben, löschen, sofern wir diese Daten nicht aus bestimmten Gründen gemäß CCPA weiterhin aufbewahren müssen, z. B. zum Schutz vor böswilligen, betrügerischen oder illegalen Aktivitäten.
Recht auf Nichtdiskriminierung: Sie dürfen nicht benachteiligt werden, weil Sie eines Ihrer Datenschutzrechte ausüben.
Die California Privacy Rights Act (CPRA) hat das CCPA ergänzt und zusätzliche Rechte für kalifornische Bürger eingeführt:
Recht auf Berichtigung unrichtiger personenbezogener Daten: Sie können die Korrektur unrichtiger personenbezogener Daten verlangen.
Recht auf Einschränkung der Nutzung und Offenlegung sensibler personenbezogener Daten: Dieses Recht erlaubt Ihnen, die Nutzung und Offenlegung Ihrer sensiblen personenbezogenen Daten durch das Unternehmen einzuschränken. Wir sammeln bewusst keine sensiblen personenbezogenen Daten ohne Ihre Zustimmung.
Alter der betroffenen Person
Wir setzen alles daran, die Verarbeitung personenbezogener Daten von Minderjährigen bestmöglich zu schützen.
Grundsätzlich erheben wir wissentlich keine personenbezogenen Daten von Personen unter 16 Jahren. Durch die Übermittlung Ihrer personenbezogenen Daten bestätigen Sie, dass Sie mindestens 16 Jahre alt sind und nach den Gesetzen Ihres Wohnsitzlandes berechtigt sind, uns personenbezogene Daten zur Verarbeitung bereitzustellen. Falls Sie den Verdacht haben, dass ein Kind unter 16 Jahren uns personenbezogene Daten bereitgestellt hat, kontaktieren Sie uns bitte unter [email protected].
Für die KI-Hautanalyse erheben wir keine personenbezogenen Daten von Personen unter 18 Jahren.
Sicherheit und Integrität der Daten
Der Schutz der von Ihnen bereitgestellten oder von uns erhaltenen Informationen hat für uns oberste Priorität.
Wir haben geeignete organisatorische, technische, administrative und physische Sicherheitsmaßnahmen implementiert, um die Vertraulichkeit, Integrität, Verfügbarkeit und Belastbarkeit der Systeme und Dienste, die personenbezogene Daten verarbeiten, dauerhaft zu gewährleisten und die Verfügbarkeit der Informationen im Falle eines physischen oder technischen Vorfalls rechtzeitig wiederherzustellen.
Insbesondere befindet sich die Datenbank auf einem privaten Netzwerksegment. Zudem setzen wir TLS 1.3 (Transport Layer Security) ein und nutzen Cloudflare zum Schutz der Website-Sicherheit.
Im Falle eines Datenschutzverstoßes, der voraussichtlich ein Risiko für Ihre Rechte und Freiheiten darstellt, benachrichtigen wir:
die zuständige Aufsichtsbehörde innerhalb von 72 Stunden, und
Sie unverzüglich, wenn der Verstoß voraussichtlich ein hohes Risiko zur Folge hat.
Beschwerden
Wenn Sie Beschwerden über die Verarbeitung Ihrer personenbezogenen Daten haben, kontaktieren Sie uns bitte über die unten angegebenen Kontaktdaten. Sollten Sie mit unserer Antwort nicht zufrieden sein, haben Sie je nach Wohnsitz das Recht, unsere Entscheidung anzufechten oder Ihre Beschwerde bei der örtlichen Datenschutzbehörde einzureichen.
Da wir Dienstleistungen für Personen in der EU anbieten, haben wir gemäß Artikel 27 DSGVO einen EU-Vertreter benannt:
(Name, Adresse, E-Mail)
Sofern wir auf Grundlage der Art und des Umfangs der Verarbeitung (einschließlich der KI-Hautanalyse) die Kriterien des Art. 37 DSGVO erfüllen, benennen wir einen Datenschutzbeauftragten. Aktualisierte Kontaktdaten werden hier und im Impressum angegeben.
Änderungen
Wir können diese Datenschutzrichtlinie gelegentlich aufgrund neuer Updates, Technologien, gesetzlicher Anforderungen oder aus anderen Gründen aktualisieren, indem wir eine neue Version auf unserer Website veröffentlichen.
Solche Änderungen treten sofort nach Veröffentlichung auf dieser Website in Kraft. Wir empfehlen Ihnen, die Datenschutzrichtlinie regelmäßig zu überprüfen, um über Änderungen informiert zu bleiben.
Wenn Änderungen Ihre Rechte oder Pflichten wesentlich betreffen, werden wir angemessene Maßnahmen ergreifen, um Sie zu informieren, z. B. per E-Mail, Pop-up oder andere Hinweise bei Ihrem ersten Besuch nach der Änderung. Ihre fortgesetzte Nutzung unserer Website nach Inkrafttreten der geänderten Datenschutzrichtlinie gilt als Zustimmung zu den neuen Bedingungen.
Kontaktaufnahme
Für Fragen zur Verarbeitung Ihrer personenbezogenen Daten kontaktieren Sie uns bitte:
INSTYTUTUM AG
Adresse: Gubelstrasse 12, 6300 Zug, Schweiz
Telefon: +41 41 511 20 50
E-Mail: [email protected]
Wir freuen uns jederzeit über Ihr Feedback, Kommentare oder Anregungen, die zur Verbesserung unserer Arbeit beitragen.
Vielen Dank, dass Sie sich für INSTYTUTUM AG entschieden haben!
