Datenschutzbestimmungen für facelift und facelift Social Share Mobile Applications
Präambel
Die facelift Software, im Folgenden als Service bezeichnet, ist eine Cloud-Software, die es ihren Nutzern ermöglicht, Inhalte für Soziale Medien zu erstellen und dort zu veröffentlichen, mit der Community in den Sozialen Medien zu interagieren und Aktivitäten in den Sozialen Medien zu analysieren. Die facelift Mobile Application, im Folgenden Mobile App genannt, ist eine alternative Benutzeroberfläche für den Service.
Die facelift Social Share Mobile Application, im Folgenden Social Share App, ist eine Mobile Application, die es ihren Nutzern ermöglicht, im Service vorbereitete Inhalte über ihre persönlichen Profile in den Sozialen Medien zu veröffentlichen.
Im Folgenden werden die Mobile App und die Social Share App gemeinsam als die Apps bezeichnet.
Der Service und die Apps werden bereitgestellt durch
Facelift brand building technologies GmbH
Gerhofstraße 19
D-20354 Hamburg, Deutschland,
Im Folgenden Facelift genannt. Der von Facelift bestellte Datenschutzbeauftragte kann per E-Mail an dataprivacy@facelift-bbt.com kontaktiert werden.
Der Service und die Apps sind ausschließlich für die nicht-private Nutzung bestimmt. Die Nutzung des Services und der Apps erfordern ein Nutzerkonto, welches von einem Kunden Facelifts angelegt werden muss, im Folgenden als Facelift-Kunde bezeichnet, in dessen Auftrag Nutzer der Mobile App Inhalte für die Sozialen Medien erstellen und veröffentlichen und mit dessen Community in den Sozialen Netzwerken Nutzer interagieren, und von dem Nutzer der Social Share App vorbereitete Inhalte beziehen.
Folglich wird angenommen, dass Nutzer der App, im Folgenden als Nutzer bezeichnet, die Apps nutzen, um einen Vertrag oder eine Kette von Verträgen – direkt oder indirekt – zwischen sich und dem Facelift-Kunden zu erfüllen oder dass der Nutzer anderweitig befugt ist, für den Facelift-Kunden zu handeln. Falls der Nutzer die Apps nicht im Auftrag eines oder für einen Facelift-Kunden nutzt, muss der Nutzer die Nutzung der Apps umgehend einstellen und die Apps von seinem Gerät löschen.
Zwecke, Verantwortlichkeit, Rechtsgrundlagen der Verarbeitung
Die Verarbeitung personenbezogener Daten in Bezug auf die Nutzung der Mobile App durch den Nutzer erfolgt primär, um dem Nutzer die Erstellung und Veröffentlichung von Inhalten auf den Profilen des Facelift-Kunden in den Sozialen Medien zu ermöglichen und mit der Community des Facelift-Kunden über diese Profile zu interagieren. Die Verarbeitung personenbezogener Daten in Bezug auf die Nutzung der Social Share App durch den Nutzer erfolgt primär, um dem Nutzer die Veröffentlichung vorbereiteter Inhalte über ihre persönlichen Profile in den Sozialen Medien zu ermöglichen. Sekundär erfolgt die Verarbeitung personenbezogener Daten in Bezug auf die Nutzung der Apps zu Zwecken der ordentlichen und sicheren Bereitstellung der Apps und – allgemeiner – des Services sowie für Zwecke des Kundendienstes und der Verbesserung der Apps und des Services, insbesondere hinsichtlich des Nutzungserlebnisses.
Hinsichtlich der Apps sind sowohl Facelift als auch der Facelift-Kunde separate ausschließliche nicht-gemeinsam Verantwortliche für Verarbeitungsvorgänge. Unbenommen etwaiger anderslautender Verträge zwischen Facelift und dem Facelift-Kunden ist Facelift der alleinige Verantwortliche für Verarbeitungstätigkeiten, die die oben genannten sekundären Zwecke verfolgen. Die sekundären Zwecke werden mit den folgenden Kategorien von Verarbeitungstätigkeiten verfolgt:
- Kundendienst,
- Ordnungsgemäßes Funktionieren der Apps und des Services, und
- Kontinuierliche Verbesserung der Apps und des Services.
Für jede Verarbeitungstätigkeit, die nicht diesen Kategorien zuzuordnen ist, ist der Facelift-Kunde datenschutzrechtlich Verantwortlicher und Facelift ist als Auftragsverarbeiter des Facelift-Kunden auf Grundlage eines Auftragsverarbeitungsvertrages nach Artikel 28 Datenschutzgrundverordnung (DSGVO) tätig.
Diese Datenschutzbestimmungen finden ausschließlich Anwendung auf Verarbeitungstätigkeiten, für die Facelift Verantwortlicher ist.
Im Hinblick auf Verarbeitungstätigkeiten, für die Facelift Verantwortlicher ist, erfolgt die Verarbeitung personenbezogener Daten des Nutzers auf Grundlage des Artikels 6(1) lit. f DSGVO; die berechtigten Interessen Facelifts sind
- Die Ausführung seiner Verträge mit allen seinen Kunden, nicht nur dem Facelift-Kunden; und
- Seine allgemeinen Geschäftsinteressen an einer Verbesserung der Apps und des Services, insbesondere hinsichtlich der Behebung von Programmierfehlern (Bugs) und der Verbesserung des Benutzererlebnisses.
Empfänger personenbezogener Daten, Drittlandtransfers
Personenbezogene Daten, die unter der Verantwortung des Facelift-Kunden durch Facelift verarbeitet werden, werden on Facelift an den Facelift-Kunden und an Facelifts Hosting Partner weitergegeben. Facelifts Hosting Partner hat seinen rechtlichen und örtlichen Sitz in der Europäischen Union.
Personenbezogene Daten, die unter der Verantwortung Facelifts verarbeitet werden, können an Dritte weitergegeben werden, wenn diese Dritten Leistungen erbringen, die zur Erreichung der Verarbeitungszwecke geeignet sind, insbesondere an Facelifts Hosting-Partner.
Wenn Facelift personenbezogene Daten an Dritte weitergibt, die ihren Sitz nicht in der Europäischen Union oder dem Europäischen Wirtschaftsraum haben, basiert diese Weitergabe personenbezogener Daten auf Angemessenheitsbeschlüssen der Europäischen Kommission gemäß Artikel 45 DSGVO1, oder auf geeigneten Garantien in Form von Standarddatenschutzklauseln für die Übermittlung personenbezogener Daten an Drittländer, wie sie von der Europäischen Kommission angenommen wurden.2
Facelift übermittelt personenbezogene Daten an die folgenden Dritten.
| Dritte | Drittland | Zweck / Verarbeitungsaktivität |
| Intercom Inc. | USA | Kundendienst: Ticket-System und Nutzerunterstützung per In-App-Chat (betrifft nur Mobile App) Kontinuierliche Verbesserung der Apps und des Services: Analyse der App-Interaktion |
| Google LLC | USA | Kundendienst: Push-Nachrichten für Chat-Support (via Firebase Cloud Messaging); Ordnungsgemäßes Funktionieren der Apps: Fehlerberichte (via Firebase Crashlytics, betrifft nur Android-Version der Mobile App) |
| Mixpanel Inc. | USA | Kontinuierliche Verbesserung der Apps und des Services: Aufbereitung und Analysen |
| Twilio Inc. | USA | Kontinuierliche Verbesserung der Apps und des Services: Analysen (via Segment) |
Speicherbegrenzung
Personenbezogene Daten werden für verschieden lange Zeiträume verarbeitet, die sich nach den Zwecken der Verarbeitung richten. Für Verarbeitungstätigkeiten, für die Facelift Verantwortlicher ist, finden folgende Speicherfristen Anwendung:
- Protokolldateien, die personenbezogene Daten beinhalten, werden für bis zu 30 Tage gespeichert
- Andere personenbezogene Daten werden so lange gespeichert, wie die Daten für die Verarbeitungszwecke relevant sind, wobei sich die Relevanz aus den Zwecken der Verarbeitung, den Umständen der Sammlung der Daten, und der Praktikabilität der Anonymisierung personenbezogener Daten für den Verarbeitungszweck ergeben.
Personenbezogene Daten, die Facelift verarbeitet, werden gelöscht, sobald sie für den jeweiligen Verarbeitungszweck nicht mehr benötigt werden.
Rechte der betroffenen Person
Dem Nutzer stehen die Rechte betroffener Personen gemäß Kapitel III DSGVO zu.
Gemäß Artikel 15 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Bestätigung darüber zu verlangen, ob personenbezogene Daten über sie verarbeitet werden. Verarbeitet der Verantwortliche personenbezogene Daten über die betroffene Person, so hat die betroffene Person das Recht Auskunft darüber zu erhalten, zu welchen Zwecken die Verarbeitung erfolgt; welche Kategorien personenbezogener Daten verarbeitet werden; an welche (Kategorien von) Empfängern der Verantwortliche die sie betreffenden personenbezogenen Daten übermittelt, insbesondere Empfänger in Drittländern oder bei internationalen Organisationen; falls möglich, wie lange die personenbezogenen Daten gespeichert werden, oder falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer; dass sie das Recht hat, vom Verantwortlichen die Berichtigung, Löschung oder Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten zu verlangen; das Bestehen eines Beschwerderecht bei der Aufsichtsbehörde; aus welchen Quellen die sie betreffenden personenbezogenen Daten stammen, sofern die Daten nicht bei ihr erhoben wurden; ob und dass der Verantwortliche automatisierte Entscheidungsfindung einschließlich Profiling einsetzt, sowie aussagekräftige Informationen über die involvierte Logik und die Tragweite und angestrebten Auswirkungen für die betroffene Person zu erhalten.
Gemäß Artikel 16 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen die unverzügliche Berichtigung sie betreffender unrichtiger personenbezogener Daten zu verlangen.
Gemäß Artikel 17 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen die unverzügliche Löschung sie betreffender personenbezogener Daten zu verlangen, es sei denn, die Verarbeitung der sie betreffenden personenbezogenen Daten ist erforderlich zur Ausübung des Rechts auf freie Meinungsäußerung und Information; zur Erfüllung rechtlicher Verpflichtungen; aus öffentlichem Interesse; oder für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Gemäß Artikel 18 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen die Einschränkung der Verarbeitung sie betreffender personenbezogener Daten zu verlangen unter der Voraussetzung, dass die betroffene Person die Richtigkeit der personenbezogenen Daten bestreitet; dass die Verarbeitung unrechtmäßig ist und die betroffene Person eine Löschung ablehnt und stattdessen die Einschränkung der Verarbeitung verlangt; dass der Verantwortliche die personenbezogenen Daten nicht länger benötigt, jedoch die personenbezogenen Daten von der betroffenen Person zur Geltendmachung, Ausübung und Verteidigung von Rechtsansprüchen benötigt werden; oder dass die betroffene Person der Verarbeitung sie betreffender personenbezogener Daten widersprochen hat, solange nicht feststeht, dass die berechtigten Interessen des Verantwortlichen die der betroffenen Person überwiegen.
Gemäß Artikel 20 DSGVO hat die betroffene Person das Recht, vom Verantwortlichen eine Kopie sie betreffender personenbezogener Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, vorausgesetzt die Verarbeitung basiert auf der Einwilligung der betroffenen Person gemäß Artikel 6(1) lit. a oder Artikel 9(2) lit. b DSGVO oder basiert auf einem Vertrages gemäß Artikel 6(1) lit. b) DSGVO. Die betroffene Person kann verlangen, dass sie betreffende personenbezogene Daten an einen anderen Verantwortlichen übermittelt werden.
Gemäß Artikel 21 DSGVO hat die betroffene Person das Recht der Verarbeitung sie betreffender Daten zu widersprechen. Im Einklang mit Artikel 21(4) DSGVO muss dieses Recht in verständlicher Weise und von anderen Informationen getrennt erfolgen. Dementsprechend wird dieses Recht im Abschnitt „Widerspruchsrecht“ behandelt.
Ergänzend zu den Rechten des Kapitels III DSGVO, und soweit die Verarbeitung personenbezogener Daten auf der Einwilligung der betroffenen Person basiert, kann die betroffene Person diese Einwilligung gemäß Artikel 7(3) jederzeit widerrufen.
Der betroffenen Person hat gemäß Artikel 77(1) DSGVO auch das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen, insbesondere bei der Aufsichtsbehörde ihres gewöhnlichen Aufenthaltsortes, ihres Arbeitsplatzes oder der für den Verantwortlichen zuständigen Aufsichtsbehörde.
Widerspruchsrecht
Gemäß Artikel 21 DSGVO hat die betroffene Person das Recht zu jeder Zeit und aus Gründen, die sich aus ihrer besonderen Situation ergeben, der Verarbeitung sie betreffender personenbezogener Daten zu widersprechen, sofern die Verarbeitung auf Artikel 6(1) lit. e oder f DSGVO basiert. Nimmt die betroffene Person dieses Recht in Anspruch, so stellt der Verantwortliche die Verarbeitung der die Person betreffenden personenbezogenen Daten ein, es sei denn der Verantwortliche weist zwingende schutzwürdige Gründe für die Verarbeitung nach, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen; oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Die betroffene Person hat stets das Recht einer Verarbeitung sie betreffender personenbezogener Daten zu widersprechen, wenn die Verarbeitung zu Zwecken der Direktwerbung erfolgt.
Hinsichtlich Verarbeitungstätigkeiten, für die Facelift Verantwortlicher ist, kann das Widerspruchsrecht per E-Mail an dataprivacy@facelift-bbt.com in Anspruch genommen werden.
Konsequenzen wenn personenbezogene Daten nicht bereitgestellt werden, Automatisierte Entscheidungen, Profiling
Stellt der Nutzer personenbezogene Daten nicht bereit, kann dies Facelift daran hindern, Zugang zum Service zu gewähren, dem Nutzer adäquaten Kundendienst zukommen zu lassen, oder sicherzustellen, dass die Apps und den Service für den Nutzer ordnungsgemäß funktionieren.
Facelift unterwirft den Nutzer keiner automatisierten Entscheidungsfindung, einschließlich Profiling, gemäß der Definition des Artikels 22 DSGVO.
[1]The full list of countries that provide adequate protection can be found at https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_en
[2]The text of the standard data protection clauses can be obtained from the European Commission at https://ec.europa.eu/info/law/law-topic/data-protection/international-dimension-data-protection/standard-contractual-clauses-scc_en