Tickets buchen

Datenschutzerklärung

Stand: Mai 2026

Mit dieser Datenschutzerklärung informieren wir Sie über die Bearbeitung personenbezogener Daten beim Besuch unserer Website, bei der Nutzung unserer Online-Angebote (Newsletter, Buchungen, Gutscheinkauf, Ticketing) sowie bei der Kontaktaufnahme mit uns. Die Erklärung richtet sich nach dem revidierten Bundesgesetz über den Datenschutz (revDSG, in Kraft seit 1. September 2023) und – soweit auf Sie anwendbar – nach der EU-Datenschutz-Grundverordnung (DSGVO).

1. Verantwortliche Stelle

Verantwortlich für die Datenbearbeitung im Sinne von Art. 5 lit. j revDSG bzw. Art. 4 Ziff. 7 DSGVO ist:

KriSTALL Guttannen
c/o Hotel Bären Guttannen
CH-3864 Guttannen

E-Mail: post@kristall-guttannen.ch
UID: CHE-305.952.808

Für Datenschutzanfragen erreichen Sie uns unter: post@kristall-guttannen.ch

Wir sind nicht verpflichtet, eine:n Datenschutzbeauftragte:n bzw. eine:n Datenschutzberater:in zu bestellen. Datenschutzanfragen beantwortet die oben genannte Kontaktstelle.

2. Begriffe und Rechtsgrundlagen

Personendaten sind alle Angaben, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.

Wir bearbeiten Personendaten gestützt auf folgende Rechtsgrundlagen:

  • Einwilligung (Art. 6 Abs. 6 und 7 revDSG; Art. 6 Abs. 1 lit. a DSGVO) – z.B. für nicht zwingend erforderliche Cookies, Newsletter, Marketing-Tracking.
  • Vertragserfüllung (Art. 31 Abs. 2 lit. a revDSG; Art. 6 Abs. 1 lit. b DSGVO) – z.B. zur Abwicklung von Buchungen, Gutschein- und Ticketkäufen.
  • Gesetzliche Pflicht (Art. 31 Abs. 1 revDSG; Art. 6 Abs. 1 lit. c DSGVO) – z.B. Aufbewahrungspflichten nach Obligationenrecht.
  • Überwiegendes berechtigtes Interesse (Art. 31 Abs. 2 revDSG; Art. 6 Abs. 1 lit. f DSGVO) – z.B. zur Sicherstellung des Betriebs unserer Website, zur Betrugsprävention oder für direkte Kundenkommunikation.

 

3. Ihre Rechte

Sie haben gegenüber uns folgende Rechte bezüglich Ihrer Personendaten:

  • Auskunftsrecht über die zu Ihrer Person bearbeiteten Daten
  • Berichtigung unrichtiger Daten
  • Löschung oder Einschränkung der Bearbeitung
  • Widerspruch gegen bestimmte Bearbeitungen
  • Datenherausgabe/-übertragbarkeit in einem gängigen elektronischen Format
  • Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft
  • Beschwerde bei der zuständigen Aufsichtsbehörde

Zur Geltendmachung Ihrer Rechte genügt eine formlose Mitteilung an die unter Ziffer 1 genannte Kontaktstelle. Wir können zur Identitätsprüfung geeignete Nachweise verlangen.

Aufsichtsbehörden:

 

4. Datenerhebung beim Besuch unserer Website

4.1 Server-Logfiles

Beim Aufruf unserer Website werden vom Hosting-Provider automatisch technische Daten in sogenannten Server-Logfiles erfasst:

  • IP-Adresse (gekürzt bzw. anonymisiert)
  • Datum und Uhrzeit der Anfrage
  • Aufgerufene Seite/Datei
  • Übertragene Datenmenge
  • Browsertyp, Betriebssystem, Referrer-URL

Diese Daten dienen ausschliesslich der Sicherstellung eines störungsfreien Betriebs sowie der Abwehr von Angriffen. Rechtsgrundlage ist unser überwiegendes berechtigtes Interesse. Die Logs werden in der Regel nach 14 Tagen automatisch gelöscht, sofern nicht ein konkreter sicherheitsrelevanter Vorfall eine längere Aufbewahrung erfordert.

4.2 SSL-/TLS-Verschlüsselung

Diese Website nutzt aus Sicherheitsgründen eine SSL-/TLS-Verschlüsselung. Sie erkennen eine verschlüsselte Verbindung am «https://» in der Adresszeile sowie am Schloss-Symbol Ihres Browsers.

4.3 Cookies und Consent Management (Complianz)

Unsere Website verwendet Cookies und vergleichbare Technologien (LocalStorage, Pixel etc.). Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden.

Wir unterscheiden zwischen:

  • Technisch notwendigen Cookies, ohne die die Website nicht funktioniert (z.B. Spracheinstellung, Warenkorb, Consent-Speicherung). Diese werden ohne Einwilligung gesetzt.
  • Statistik-, Marketing- und Komfort-Cookies, die nur mit Ihrer ausdrücklichen Einwilligung gesetzt werden.

Die Einwilligung holen wir über das Consent-Management-Tool Complianz ein. Beim ersten Aufruf der Website erscheint ein Banner, in dem Sie Ihre Auswahl treffen können. Ihre Einstellungen werden in einem technisch notwendigen Cookie gespeichert. Sie können Ihre Einwilligung jederzeit über den Link «Cookie-Einstellungen» im Footer widerrufen oder anpassen.

Eine detaillierte Liste der eingesetzten Cookies mit Anbieter, Zweck und Speicherdauer finden Sie hier.

5. Kontaktformular und E-Mail-Kommunikation

Auf unserer Website setzen wir Gravity Forms (selbst gehostet auf unserem Server bei cyon) für Kontakt- und Anfrageformulare ein. Die von Ihnen eingegebenen Daten (z.B. Name, E-Mail-Adresse, Nachricht) werden ausschliesslich zur Bearbeitung Ihrer Anfrage verwendet und nicht ohne Ihre Einwilligung an Dritte weitergegeben.

Bei der Kommunikation per E-Mail bearbeiten wir die mitgeteilten Daten (Absenderadresse, Inhalt) zur Beantwortung Ihres Anliegens.

Rechtsgrundlage: Vertragserfüllung bzw. vorvertragliche Massnahmen, oder unser überwiegendes berechtigtes Interesse an der Beantwortung Ihres Anliegens.

Speicherdauer: Bis zur Erledigung Ihres Anliegens, danach gemäss gesetzlichen Aufbewahrungsfristen (in der Regel 10 Jahre für geschäftsrelevante Korrespondenz nach Obligationenrecht).

Google reCAPTCHA

Zum Schutz unserer Formulare vor automatisierten Eingaben (Spam-Bots) verwenden wir Google reCAPTCHA der Google Ireland Limited (Gordon House, Barrow Street, Dublin 4, Irland), Mutterkonzern: Google LLC, USA. reCAPTCHA prüft, ob Eingaben durch einen Menschen oder ein automatisiertes Programm erfolgen. Dabei werden u.a. IP-Adresse, Verweildauer und Mausbewegungen an Google übermittelt.

Rechtsgrundlage: Überwiegendes berechtigtes Interesse am Schutz vor Missbrauch; soweit eine Einwilligung erforderlich ist, gestützt auf diese. Weitere Informationen: policies.google.com/privacy und policies.google.com/terms.

 

6. Newsletter (rapidmail)

Für den Versand unseres Newsletters nutzen wir den Dienst rapidmail GmbH, Augustinerplatz 2, 79098 Freiburg im Breisgau, Deutschland.

Die Anmeldung erfolgt im Double-Opt-in-Verfahren: Nach Ihrer Anmeldung erhalten Sie eine Bestätigungs-E-Mail, in der Sie den Versand des Newsletters bestätigen müssen. Damit stellen wir sicher, dass nur Sie selbst Ihre E-Mail-Adresse für den Newsletter eintragen können.

Zur Anmeldung erfassen wir Ihre E-Mail-Adresse sowie Datum, Uhrzeit und IP-Adresse der Anmeldung und Bestätigung (Nachweis der Einwilligung). Optional erheben wir Anrede und Namen für eine personalisierte Ansprache.

Wir werten Öffnungs- und Klickraten unserer Newsletter aus, um deren Qualität und Relevanz für Sie zu verbessern. rapidmail erstellt entsprechende statistische Auswertungen.

Sie können den Newsletter jederzeit abbestellen, entweder über den Abmeldelink in jedem Newsletter oder per Mitteilung an uns. Mit der Abmeldung erlischt Ihre Einwilligung.

Rechtsgrundlage: Ihre Einwilligung.
Auftragsbearbeitung: Mit rapidmail besteht ein Auftragsbearbeitungsvertrag. Daten werden auf Servern in Deutschland verarbeitet.
Datenschutzerklärung von rapidmail

 

7. Analyse-Tools und Werbung

Für Statistik, Reichweitenmessung und Online-Werbung setzen wir die folgenden Dienste ein. Alle nicht zwingend erforderlichen Tools werden erst nach Ihrer Einwilligung über unser Consent-Banner aktiviert.

7.1 Google Tag Manager

Wir nutzen den Google Tag Manager der Google Ireland Limited zur einheitlichen Verwaltung der auf unserer Website eingesetzten Tracking- und Analyse-Tools. Der Tag Manager selbst erstellt keine Nutzerprofile und speichert keine Cookies, lädt aber – nach Ihrer Einwilligung – die nachfolgenden Tools.

7.2 Google Analytics 4 (GA4)

Wir verwenden Google Analytics 4 zur Analyse des Nutzerverhaltens auf unserer Website. GA4 arbeitet ereignisbasiert und mit IP-Anonymisierung (IP-Kürzung erfolgt standardmässig durch Google). Wir erhalten dadurch aggregierte Statistiken über Seitenaufrufe, Verweildauer, Geräte- und Standortinformationen (auf Land-/Regionsebene).

Rechtsgrundlage: Ihre Einwilligung.

7.3 Google Ads und Conversion-Tracking

Auf unserer Website ist das Google Ads Conversion-Tracking der Google Ireland Limited eingebunden. Wenn Sie über eine unserer Google-Anzeigen auf die Website gelangen, setzt Google ein Cookie, das es uns ermöglicht, Erfolg und Reichweite unserer Werbekampagnen zu messen (z.B. ob ein Kauf, eine Buchung oder eine Newsletter-Anmeldung über eine Anzeige erfolgte).

Wir erhalten von Google nur aggregierte, nicht-personenbezogene Statistiken. Eine Identifikation einzelner Nutzer:innen ist uns nicht möglich.

Rechtsgrundlage: Ihre Einwilligung.

7.4 Meta-Pixel (Facebook/Instagram)

Wir verwenden den Meta-Pixel der Meta Platforms Ireland Limited (4 Grand Canal Square, Dublin 2, Irland). Der Pixel ermöglicht es uns, die Wirksamkeit unserer Werbung auf Facebook und Instagram zu messen und Besucher:innen unserer Website für sogenanntes Custom-Audience-Marketing zu erreichen.

Gemeinsame Verantwortlichkeit (Joint Controllership): Für die Erhebung der Daten durch den Pixel und deren Übermittlung an Meta sind wir gemeinsam mit Meta verantwortlich (Art. 26 DSGVO). Die wesentlichen Inhalte der entsprechenden Vereinbarung finden Sie unter: www.facebook.com/legal/controller_addendum. Die weitere Bearbeitung der Daten erfolgt anschliessend allein durch Meta.

Rechtsgrundlage: Ihre Einwilligung.

Datenschutzerklärung Meta: www.facebook.com/privacy/policy

 

8. Eingebettete Inhalte Dritter

8.1 Vimeo

Wir betten Videos der Vimeo, Inc., 555 West 18th Street, New York, New York 10011, USA, auf unserer Website ein. Beim Aufruf einer Seite mit eingebettetem Video wird eine Verbindung zu den Vimeo-Servern aufgebaut. Vimeo erfährt dabei, welche Seite Sie aufgerufen haben, und kann ggf. ein Cookie auf Ihrem Gerät setzen.

Wir nutzen Vimeo-Videos – soweit technisch verfügbar – im erweiterten Datenschutzmodus («Do Not Track»), der gemäss Vimeo eine Auswertung Ihres Verhaltens zu Werbezwecken einschränkt.

Rechtsgrundlage: Ihre Einwilligung über unser Consent-Banner.
Datenschutzerklärung Vimeo: vimeo.com/privacy 

8.2 SBB-Fahrplanwidget

Zur Anzeige aktueller Verbindungsinformationen binden wir das Fahrplan-Widget der Schweizerischen Bundesbahnen SBB (Hilfikerstrasse 1, 3000 Bern 65, Schweiz) ein. Beim Aufruf werden technische Daten (IP-Adresse, Browser-Informationen) an die SBB übermittelt. Die Bearbeitung erfolgt unter Schweizer Recht.

Rechtsgrundlage: Überwiegendes berechtigtes Interesse an der Bereitstellung praktischer Reiseinformationen; soweit eine Einwilligung erforderlich ist, gestützt auf diese.
Datenschutzerklärung SBB: www.sbb.ch/de/datenschutz 

8.3 Verlinkung zu Google Maps

Wir binden Google Maps nicht aktiv auf unserer Website ein, sondern verlinken lediglich auf Karten- bzw. Routenplanungsseiten von Google. Erst durch das Anklicken eines solchen Links werden Daten an Google übermittelt. Es gelten dann die Datenschutzbestimmungen von Google: policies.google.com/privacy

 

9. Buchungs-, Gutschein- und Ticketing-System (e-guma)

Für den Online-Verkauf von Gutscheinen und Tickets sowie für die Buchungsabwicklung nutzen wir die Plattform der e-guma AG, Industriestrasse 25, 3178 Bösingen, Schweiz.

Bei einer Buchung oder einem Kauf werden die für die Vertragsabwicklung erforderlichen Daten (Name, Kontaktdaten, Bestelldetails, Zahlungsdaten) auf den Servern von e-guma in der Schweiz bearbeitet. Für die Datenbearbeitung im e-guma-System gilt zusätzlich die Datenschutzerklärung von e-guma: www.e-guma.ch/datenschutz

Rechtsgrundlage: Vertragserfüllung sowie gesetzliche Aufbewahrungspflichten.
Speicherdauer: Buchungs- und Rechnungsdaten werden im Rahmen der gesetzlichen Pflichten (10 Jahre gemäss Obligationenrecht) aufbewahrt.

 

10. Zahlungsabwicklung (Worldline)

Die Abwicklung von Kartenzahlungen vor Ort und im Online-Verkauf erfolgt über die Worldline Schweiz AG, Hardturmstrasse 201, 8005 Zürich, Schweiz. Worldline ist als selbstständig verantwortliche Stelle für die Verarbeitung der Zahlungsdaten zuständig.

Wir selbst erhalten nur die für unsere Buchhaltung notwendigen Informationen (z.B. Transaktionsbestätigung, letzte vier Stellen der Kartennummer). Vollständige Kartendaten werden auf unseren Systemen nicht gespeichert.

Rechtsgrundlage: Vertragserfüllung und gesetzliche Pflichten.
Datenschutzerklärung Worldline

 

11. Bewerbungsdaten

Wir freuen uns über Bewerbungen auf ausgeschriebene Stellen sowie über Initiativbewerbungen, insbesondere von Personen, die sich vorstellen können, bei uns Führungen zu übernehmen oder anderweitig mitzuwirken.

Welche Daten wir bearbeiten

Im Rahmen des Bewerbungsverfahrens bearbeiten wir die von Ihnen freiwillig übermittelten Daten, insbesondere:

  • Stammdaten (Name, Vorname, Adresse, ggf. Geburtsdatum)
  • Kontaktdaten (E-Mail, Telefonnummer)
  • Bewerbungsunterlagen (Motivationsschreiben, Lebenslauf, Zeugnisse, Diplome, Referenzen, Arbeitsproben)
  • Angaben zu Qualifikationen, Sprachkenntnissen und Berufserfahrung
  • Foto, sofern Sie eines beifügen
  • Weitere von Ihnen freiwillig mitgeteilte Informationen

Sollte Ihre Bewerbung freiwillig besonders schützenswerte Personendaten enthalten (z.B. Gesundheitsangaben, religiöse oder weltanschauliche Überzeugungen, Gewerkschaftsmitgliedschaft), bearbeiten wir diese ausschliesslich im Zusammenhang mit Ihrer Bewerbung. Wir bitten Sie, solche Angaben nur zu machen, soweit dies für die angestrebte Tätigkeit relevant ist.

Zweck und Rechtsgrundlage

Wir bearbeiten Ihre Bewerbungsdaten zur Prüfung Ihrer Eignung für die ausgeschriebene Stelle oder – bei Initiativbewerbungen – für allenfalls künftig passende Positionen sowie zur Durchführung des Bewerbungsverfahrens.

Rechtsgrundlage: Vorvertragliche Massnahmen (Art. 31 Abs. 2 lit. a revDSG; Art. 6 Abs. 1 lit. b DSGVO); bei besonders schützenswerten Daten zusätzlich Ihre konkludente Einwilligung durch das Einreichen der Bewerbung (Art. 6 Abs. 7 revDSG; Art. 9 Abs. 2 lit. a DSGVO).

Übermittlungsweg

Bewerbungen können Sie uns per E-Mail zukommen lassen. Bitte beachten Sie, dass eine unverschlüsselte E-Mail-Übertragung systembedingt nicht durchgehend gesichert ist. Bei sensiblen Inhalten empfehlen wir Ihnen, sich vorab bei uns zu melden, damit wir Ihnen einen geschützten Übermittlungsweg vorschlagen können.

Empfänger der Daten

Innerhalb von KriSTALL Guttannen erhalten ausschliesslich diejenigen Personen Zugang zu Ihren Bewerbungsdaten, die am Auswahl- und Entscheidungsprozess beteiligt sind. Eine Weitergabe an Dritte erfolgt nicht, sofern Sie hierzu nicht ausdrücklich eingewilligt haben.

Speicherdauer

Bei erfolgreicher Bewerbung werden die Daten in Ihre Personalakte überführt und während der Dauer des Arbeits- bzw. Auftragsverhältnisses sowie gemäss gesetzlichen Aufbewahrungspflichten danach gespeichert.

Bei Absage oder Rückzug der Bewerbung löschen bzw. vernichten wir die Unterlagen spätestens 6 Monate nach Abschluss des Verfahrens, sofern Sie nicht ausdrücklich einer längeren Aufbewahrung (z.B. zur Aufnahme in einen Talentpool) zustimmen.

Bei Initiativbewerbungen bewahren wir die Unterlagen während maximal 12 Monaten auf, um Sie bei passenden Gelegenheiten kontaktieren zu können. Sie können der weiteren Speicherung jederzeit formlos widersprechen; wir löschen die Daten dann unverzüglich.

Ihre Rechte

Die unter Ziffer 3 aufgeführten Rechte (insbesondere Auskunft, Berichtigung, Löschung, Widerspruch und Widerruf) gelten auch für Bewerbungsdaten vollumfänglich.

 

12. Auftragsbearbeiter / Übersicht eingesetzter Dienstleister

Die folgenden Dienstleister bearbeiten Personendaten in unserem Auftrag. Mit allen wurde – sofern erforderlich – ein Auftragsbearbeitungsvertrag (AVV/ADV) abgeschlossen:

  • cyon GmbH, Brunngässlein 12, 4052 Basel | Webhosting, E-Mail | Schweiz
  • rapidmail GmbH, Freiburg i.Br. | Newsletter-Versand | Deutschland (EU)
  • e-guma AG, Bösingen | Buchungs-, Gutschein- und Ticketing-Plattform | Schweiz
  • Worldline Schweiz AG, Zürich | Zahlungsabwicklung | Schweiz / EU
  • Microsoft Corporation (Microsoft 365) | Interne Bürokommunikation, E-Mail | EU/EWR (mit möglichen Zugriffen aus den USA)
  • Google Ireland Limited / Google LLC | Tag Manager, Analytics, Ads, reCAPTCHA | EU / USA
  • Meta Platforms Ireland Ltd. | Facebook-/Instagram-Pixel | EU / USA
  • Vimeo, Inc. | Eingebettete Videos | USA

Für Gravity Forms (selbst gehostetes WordPress-Plugin) erfolgt keine Datenübermittlung an Dritte; Daten verbleiben auf unserem Hosting bei cyon.

 

13. Datenübermittlung ins Ausland

Soweit wir Personendaten an Dienstleister ausserhalb der Schweiz bzw. des EWR übermitteln (insbesondere in die USA: Google, Meta, Vimeo, ggf. Microsoft), erfolgt dies auf einer der folgenden Grundlagen:

  • Angemessenheitsbeschluss für die USA (EU-US Data Privacy Framework sowie der vom Schweizerischen Bundesrat anerkannte Swiss-US Data Privacy Framework, in Kraft seit 15. September 2024) bei zertifizierten Empfängern;
  • Standardvertragsklauseln der EU-Kommission, ergänzt um Schweizer Anpassungen, soweit kein Angemessenheitsbeschluss greift;
  • Ihre ausdrückliche Einwilligung im Rahmen unseres Consent-Banners.

Wir weisen darauf hin, dass insbesondere bei Datenübermittlungen in die USA US-Behörden unter bestimmten Voraussetzungen Zugriff auf Daten verlangen können und die Rechtsdurchsetzung für Betroffene erschwert sein kann.

 

14. Speicherdauer

Wir bearbeiten Personendaten nur so lange, wie es für den jeweiligen Zweck erforderlich ist oder gesetzliche Aufbewahrungspflichten dies verlangen. Insbesondere gelten:

Buchhaltungs- und Geschäftsunterlagen: 10 Jahre (Art. 958f Obligationenrecht)

Server-Logfiles: 14 Tage

Newsletter-Daten: bis zum Widerruf der Einwilligung

Anfragen über Kontaktformular/E-Mail: bis zur Erledigung, danach gemäss gesetzlichen Fristen

Cookies: entsprechend der individuellen Cookie-Laufzeit (siehe Consent-Banner)

 

15. Datensicherheit

Wir treffen angemessene technische und organisatorische Massnahmen, um Ihre Daten vor unbefugtem Zugriff, Verlust, Missbrauch oder Zerstörung zu schützen. Dazu gehören insbesondere SSL-/TLS-Verschlüsselung, Zugriffskontrollen, regelmässige Backups und der Einsatz aktueller Software-Versionen. Eine absolute Sicherheit der Datenübertragung im Internet kann jedoch nicht garantiert werden.

 

16. Keine automatisierte Entscheidung im Einzelfall

Wir setzen keine automatisierten Verfahren zur Entscheidungsfindung im Einzelfall ein, die rechtliche Wirkung für Sie entfalten oder Sie erheblich beeinträchtigen würden.

 

17. Änderungen dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, um sie an geänderte Rechtslage oder Änderungen unserer Leistungen anzupassen. Es gilt jeweils die auf dieser Website veröffentlichte Version.