Datenschutz
1. Einleitung, Geltung
1.1. Die vorliegenden Datenschutzinformationen gelten für die Verarbeitung personenbezogener Daten beim Betrieb der Web-Applikation myUSP („Web-Applikation“) der
BACO Insight Management e.U.
Landesgericht Linz FN 360737 x, UID ATU-66354269
Atriumweg 6b, 4060 Leonding
E-Mail: info@baco-insight.at, Web: www.baco-insight.at / www.myUSP.report
(„myUSP“)
1.2. Der Schutz persönlicher Daten und die Einhaltung der maßgeblichen Datenschutzvorschriften – derzeit der Verordnung (EU) 2016/679 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung – „DSGVO“) und des Datenschutzgesetzes in der jeweils geltenden Fassung („DSG“) sowie die auf deren Grundlage erlassenen Rechtsakte – haben bei myUSP höchste Priorität. Die vorliegenden Datenschutzinformationen geben gemäß den Art 12 und 13 DSGVO einen Überblick darüber, welche personenbezogenen Daten von myUSP beim Betrieb der Web-Applikation zu welchen Zwecken verarbeiten werden und wie myUSP den Schutz dieser Daten gewährleistet.
1.3. Diese Datenschutzinformationen können unter www.myUSP.report elektronisch abgerufen, ausgedruckt, downgeloaded und auf einem Speichermedium gespeichert werden.
1.4. Die in diesen Datenschutzinformationen verwendeten Begriffe verstehen sich im Sinne der Definitionen gemäß Art 4 DSGVO.
2. Verantwortlicher, Datenschutzbeauftragter
2.1. Über die Zwecke und den Einsatz der Web-Applikation als Mittel der Verarbeitung personenbezogener Daten von Personen im Sinne der Definition der AGB-myUSP entscheiden grundsätzlich alleine die Kunden von myUSP („Kunden“ oder einzeln geschlechtsneutral „Kunde“), welche insoweit Verantwortliche im Sinne des Art 4 Z 7 DSGVO sind. myUSP verarbeitet diese Daten nur im Auftrag der Kunden und ist deren Auftragsverarbeiter gemäß Art 4 Z 8 DSGVO. Nur insoweit myUSP personenbezogene Daten nicht im Auftrag ihrer Kunden verarbeitet oder unter Verstoß gegen die DSGVO die Zwecke und Mittel der Verarbeitung bestimmt, ist sie in Bezug auf diese Verarbeitung selbst Verantwortlicher im Sinne des Art 4 Z 7 DSGVO.
Da sich die Vorschriften gemäß Kapitel III der DSGVO (Art 12 bis Art 23) nur an den Verantwortlichen einer Datenverarbeitung richtet, gelten die nachfolgenden Bestimmungen zur Verarbeitung personenbezogener Daten durch myUSP nur in jenen Ausnahmefällen, in denen myUSP als Verantwortlicher der Verarbeitung zu qualifizieren ist.
2.2. Da die Voraussetzungen des Art 37 Abs 1 DSGVO nicht erfüllt sind, insbesondere die Kerntätigkeit von myUSP nicht in der Durchführung von Verarbeitungsvorgängen besteht, welche aufgrund ihrer Art, ihres Umfangs und/oder ihrer Zwecke eine umfangreiche regelmäßige und systematische Überwachung von betroffenen Personen erforderlich machen, ist bei myUSP kein Datenschutzbeauftragter benannt.
Seite 2
3. Verarbeitung personenbezogener Daten im Allgemeinen
3.1. myUSP verarbeitet (siehe Art 4 Z 2 DSGVO) beim Betrieb der Web-Applikation personenbezogene Daten („Daten“) natürlicher Personen im Sinne der Definition der AGB-myUSP („(betroffene) Personen“ oder einzeln geschlechtsneutral „(betroffene) Person“) im Sinne der DSGVO.
3.2. myUSP verarbeitet keine besonderen Kategorien personenbezogener Daten im Sinne des Art 9 Abs 1 DSGVO („sensible Daten“).
3.3. myUSP verarbeitet Daten nur unter Wahrung der in Art 5 ff DSGVO niedergelegten Grundsätze und nur, wenn mindestens eine Rechtmäßigkeitsbedingung im Sinne des Art 6 DSGVO erfüllt ist. Verarbeitungszweck und -dauer sind kategoriebezogen in Punkt 4. geregelt.
3.4. Erforderlichenfalls, dh sofern keine andere in Art 6 DSGVO angeführte Rechtmäßigkeitsbedingung vorliegt (oder vorsichtshalber zusätzlich dazu), wird myUSP die Einwilligung der betroffenen Person(en) einholen. Sofern betroffene Personen von sich aus freiwillig von myUSP nicht geforderte Daten bekannt geben, erteilen sie damit ihre ausdrückliche Einwilligung in die Verarbeitung dieser Daten durch myUSP.
3.5. Eine Offenlegung, Übermittlung oder Weitergabe von Daten durch myUSP erfolgt nur, soweit dies aufgrund der geltenden Rechtsvorschriften zulässig bzw erforderlich ist. Die Kategorien von Empfängern, an die myUSP Daten weitergibt, sind – abgesehen von den kategoriebezogen in Punkt 4. angeführten Empfängern – insb die Auftragsverarbeiter von myUSP gemäß Art 28 DSGVO, Behörden und Gerichte und im Falle von Betreibungsmaßnahmen Inkassobüros und Rechtsanwälte. Ohne Einwilligung übermittelt myUSP keine Daten an Empfänger in einem Nicht-EU-Mitgliedstaat oder an internationale Organisationen.
4. Erhebung von Daten bei den betroffenen Personen und Verarbeitung derselben
4.1. Beim Aufruf der Web-Applikation erhebt und verarbeitet myUSP automatisiert notwendige (technische) Daten (Zugriffsdaten und Daten durch Verwendung von Cookies) der betroffenen Personen zum Betrieb, zur Sicherheit und zur Optimierung der Web-Applikation auf Grundlage der berechtigten Interessen von myUSP gemäß Art 6 Abs 1 lit f) DSGVO sowie erforderlichenfalls auf Grundlage einer Einwilligung gemäß Art 6 Abs 1 lit a) DSGVO (siehe Punkt 7. und 8.).
4.2. Bei der Nutzung der Web-Applikation sowie bei der Teilnahme an einer Online-Erhebung erhebt und verarbeitet myUSP die Daten betroffener Personen auf der Grundlage von Art 6 Abs 1 lit b) DSGVO sowie erforderlichenfalls auf der Grundlage einer Einwilligung gemäß Art 6 Abs 1 lit a) DSGVO. Für die Nutzung der Web-Applikation ist die Angabe einer E-Mail-Adresse erforderlich, aus welcher sich regelmäßig auch der Vor- und Nachname der betroffenen Person(en) ergibt. Bei der Teilnahme an einer Online-Erhebung werden zudem weitere, nicht kategorisierbare Daten abgefragt und verarbeitet. Die von betroffenen Personen bei der Teilnahme an einer Online-Erhebung erhobenen Daten werden von myUSP ausschließlich zum Zwecke der Erfüllung und Abwicklung des Vertrages mit dem Kunden auf der Grundlage der AGB-myUSP verwendet. Die Daten der betroffenen Personen werden vertraulich behandelt, verschlüsselt übertragen und nicht an Dritte sowie – vorbehaltlich in der Form komprimierter (und weitgehend anonymisierter) Berichte – auch nicht an den Kunden weitergegeben.
5. Erhebung von Daten bei Dritten
myUSP verarbeitet – mit Ausnahme der E-Mail-Adresse und des sich daraus ergebenden Vor- und Nachnamens der betroffenen Person(en) sowie automatisch erhobene notwendige technische Zugriffsdaten gemäß Punkt 7. und durch notwendige Cookies gemäß Punkt 8. erhobene Daten – keine Daten, die nicht bei den betroffenen Personen selbst erhoben werden.
Seite 3
6. Dauer der Datenverarbeitung, Aufbewahrungs- und Speicherdauer
6.1. myUSP verarbeitet und speichert Daten nicht dauerhaft, sondern nur in Übereinstimmung mit den in den jeweils geltenden Rechtsvorschriften vorgeschriebenen Fristen, jedenfalls aber so lange, als dies für jene Zwecke erforderlich ist, für welche die Daten erhoben wurden. myUSP speichert Daten in einer Form, welche die Identifizierung der betroffenen Personen nur so lange ermöglicht, wie es für die Zwecke, für die sie verarbeitet werden, erforderlich ist.
6.2. Bei bestehenden Vertragsverhältnissen werden die entsprechenden Daten – vorbehaltlich etwaiger weitergehender gesetzlicher Verpflichtungen – solange verarbeitet und gespeichert, wie dies für die Erfüllung der Vertragsverhältnisse (einschließlich nachvertraglicher Pflichten) notwendig ist.
6.3. Werden Daten nur auf der Grundlage einer Einwilligung verarbeitet, werden diese Daten infolge eines Widerrufes der Einwilligung seitens der betroffenen Person(en) gemäß Art 7 Abs 3 DSGVO unverzüglich gelöscht und nicht (mehr) weiterverarbeitet. Gleiches gilt im Falle eines berechtigten Widerspruches gemäß Art 21 DSGVO, wenn Daten nur auf der Grundlage eines berechtigten Interesses von myUSP gemäß Art 6 Abs 1 lit f) DSGVO verarbeitet werden.
7. Erhebung von Zugriffsdaten beim Aufruf der Web-Applikation
7.1. myUSP erhebt und verarbeitet beim Aufruf der Web-Applikation zunächst Daten technischer Natur über jeden Zugriff hierauf, die automatisiert beim Zugriff verarbeitet werden und welche als personenbezogen gelten oder zur Ermittlung der betroffenen Person(en) oder personenbezogener Daten verwendet werden könnten und die in sogenannten Server-Logfiles gespeichert werden („Zugriffsdaten“). Dazu gehören die IP-Adresse, eindeutige Geräteerkennung, Art und Version des Betriebssystems und des Browsers, Dateiname und -pfad, Art des Übertragungsprotokolls, Datum und Uhrzeit des Zugriffes, übertragene Bytes, Referrer URL (zuvor besuchte Seite) und der anfragende Provider.
7.2. myUSP verarbeitet diese Zugriffsdaten aber nicht zum Zwecke der Identifizierung von Personen oder der Ermittlung anderer personenbezogener Daten, sondern ausschließlich zum Zwecke des Betriebes, der bedarfsgerechten Gestaltung, Adaptierung, Verbesserung, Wartung, Optimierung und Weiterentwicklung der Website (einschließlich Funktionen, Dienste, Module und Features) sowie zur Fehlererkennung und -behebung, zur Aufrechterhaltung der Systemsicherheit sowie – sofern Webanalysetools verwendet werden – zum Zwecke der internen statistischen Auswertung, ohne dass dabei Rückschlüsse auf die betroffene(n) Person(en) gezogen werden. Es findet diesbezüglich auch kein Profiling statt.
8. Erhebung von Daten beim Aufruf der Web-Applikation durch Cookies
8.1. Bei Cookies handelt es sich um Dateien, die beim Aufruf der Web-Applikation lokal im Zwischenspeicher des Internetbrowsers der Person gespeichert werden und die insbesondere dazu dienen, um zusätzliche Funktionen anzubieten, um die Web-Applikation durch Wiedererkennung des zugreifenden Internetbrowsers und durch Speicherung temporärer Dateien benutzerfreundlicher, effektiver und sicherer zu machen sowie – sofern Webanalysetools verwendet werden – um eine (anonymisierte) Analyse der Benutzung zu ermöglichen.
8.2. Cookies, die für das Funktionieren der Web-Applikation unbedingt erforderlich sind, werden auf Grundlage der berechtigten Interessen von myUSP gemäß Art 6 Abs 1 lit f) DSGVO am Betrieb, an der Sicherheit und an der Optimierung eingesetzt. Allfällige weitere Cookies werden nur auf der Grundlage einer Einwilligung gemäß Art 6 Abs 1 lit a) DSGVO, welche die Personen nach Aufruf der Web-Applikation durch aktives Anklicken einer Tick-Box erteilen können, verarbeitet. Die Personen haben jederzeit die Möglichkeit, ihre Einwilligung zu widerrufen, indem sie in den Einstellungen ihres
Seite 4
Internetbrowsers Cookies deaktivieren und/oder löschen sowie festlegen, wie lange sie gespeichert und wann sie gelöscht werden. Die Vorgangsweise dazu ist abhängig von dem von den Personen verwendeten Internetbrowser. Das Nichtakzeptieren und die Deaktivierung von Cookies können jedoch dazu führen, dass gewisse Funktionen und/oder Inhalte der Web-Applikation nicht oder nicht wie erwartet funktionieren.
8.3. Session Cookies werden temporär für die Dauer des Zugriffes durch die Personen gespeichert und nach dem Schließen des Browsers gelöscht; dauerhafte Cookies bleiben so lange auf dem Endgerät der Personen gespeichert, bis diese sie von ihrem Browser entfernen.
9. Datenverarbeitung im Auftrag von myUSP
9.1. Erfolgt eine Verarbeitung von Daten im Auftrag von myUSP, so arbeitet myUSP nur mit Auftragsverarbeitern im Sinne des Art 4 Z 8 DSGVO, die hinreichende Garantien dafür bieten, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den bestehenden Rechtsvorschriften erfolgt und der Schutz der Rechte der Personen gewährleistet ist. Zu diesem Zweck schließt myUSP mit ihren Auftragsverarbeitern entsprechende Verträge ab, welche den Anforderungen des Art 28 DSGVO entsprechen und beachtet bei Auftragsverarbeitern mit Sitz in Drittstaaten die Art 44 ff DSGVO.
9.2. Auftragsverarbeiter von myUSP sind aktuell:
– Webserver, Hosting
– EUCUSA Processing GmbH (Software-Programmierer, EDV-Betreuung)
– KEIKO Media e.U. / Julius Franz (Landing-Page, EDV-Betreuung)
10. Sicherheit der Datenverarbeitung
myUSP trifft unter Berücksichtigung der Kriterien des Art 32 DSGVO angemessene und geeignete technische und organisatorische Maßnahmen zur Sicherheit der Daten sowie der Datenverarbeitung und sorgt dafür, dass die Daten vor unbefugter oder unrechtmäßiger Verarbeitung und vor Verlust, Beschädigung und Veränderung geschützt werden.
11. Rechte der betroffenen Personen
11.1. myUSP wahrt die Rechte der betroffenen Personen nach Maßgabe der jeweils geltenden Rechtsvorschriften. Nach derzeitiger Rechtslage stehen den betroffenen Personen die nachstehend (abstrakt) angeführten Rechte zu. Die Personen können ihre Rechte durch Übermittlung eines entsprechend konkretisierten Ersuchens – empfohlener Weise in Textform (zB Brief oder E-Mail) – an myUSP (Kontaktdaten siehe Punkt 1.1.) geltend machen. Sofern die geltenden Rechtsvorschriften Fristen für die Erledigung des Ersuchens vorsehen, wird myUSP diese einhalten.
11.2. Recht auf Auskunft und Information
Unter den Voraussetzungen und nach Maßgabe der Art 13 bis 15 DSGVO haben die betroffenen Personen das Recht auf Auskunft und Information über die Verarbeitung ihrer Daten durch myUSP sowie über ihre Rechte.
11.3. Recht auf Berichtigung und Vervollständigung
Unter den Voraussetzungen und nach Maßgabe des Art 16 DSGVO haben die betroffenen Personen das Recht auf Berichtigung unrichtiger und Vervollständigung unvollständiger sie betreffender Daten.
Seite 5
11.4. Recht auf Löschung
Unter den Voraussetzungen und nach Maßgabe des Art 17 DSGVO haben die betroffenen Personen das Recht, die unverzügliche Löschung sie betreffender Daten zu verlangen.
11.5. Recht auf Einschränkung der Verarbeitung
Unter den Voraussetzungen und nach Maßgabe des Art 18 DSGVO haben die betroffenen Personen das Recht, die Einschränkung der Verarbeitung ihrer Daten zu verlangen.
11.6. Recht auf Datenübertragbarkeit
Unter den Voraussetzungen und nach Maßgabe des Art 20 DSGVO haben die betroffenen Personen das Recht, sie betreffende Daten, die sie myUSP bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und diese Daten einem anderen Verantwortlichen zu übermitteln oder von myUSP zu verlangen, die von ihr verarbeiteten Daten direkt an einen anderen Verantwortlichen zu übermitteln, soweit dies technisch machbar ist und sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.
11.7. Widerspruchsrecht
Unter den Voraussetzungen und nach Maßgabe des Art 21 DSGVO haben die betroffenen Personen das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung sie betreffender Daten, die aufgrund von Art 6 Abs 1 lit e) oder f) DSGVO erfolgt, Widerspruch einzulegen. Im Falle eines berechtigten Widerspruchs verarbeitet myUSP die vom Widerspruch betroffenen Daten dieser Personen nicht mehr, es sei denn, sie kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, welche die Interessen, Rechte und Freiheiten der betroffenen Personen überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
11.8. Recht, nicht einer automatisierten Entscheidung unterworfen zu werden
Unter den Voraussetzungen und nach Maßgabe des Art 22 DSGVO haben die betroffenen Personen das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhenden Entscheidung unterworfen zu werden, die ihnen gegenüber rechtliche Wirkung entfaltet oder sie in ähnlicher Weise erheblich beeinträchtigt.
11.9. Widerrufsrecht
Gemäß Art 7 Abs 3 DSGVO haben die betroffenen Personen das Recht, ihre Einwilligung zur Verarbeitung sie betreffender Daten jederzeit zu widerrufen, ohne dass die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung berührt wird.
11.10. Recht auf Beschwerde
Gemäß Art 77 DSGVO iVm § 24 DSG haben die betroffenen Personen unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei der jeweils zuständigen Aufsichtsbehörde (Datenschutzbehörde).
11.11. Recht auf gerichtlichen Rechtsbehelf
Gemäß Art 79 DSGVO iVm § 27 DSG haben die betroffenen Personen unbeschadet eines anderweitigen verwaltungsrechtlichen oder außergerichtlichen Rechtsbehelfs das Recht auf einen wirksamen gerichtlichen Rechtsbehelf gegen einen sie betreffenden rechtsverbindlichen Beschluss der
Wir nutzen externe Webfonts wie Google Fonts, um Texte in unterschiedlichen Schriftarten darzustellen. Dazu wird eine Verbindung zum jeweiligen Webfont-Anbieter aufgebaut und personenbezogene Daten wie IP-Adresse und andere Gerätedaten an diesen übermittelt. Der Webfont-Anbieter nutzt die Daten ausschließlich zur Darstellung der Schriftarten und Analyse derer Beliebtheit. Rechtsgrundlage sind berechtigte Interessen (Art. 6 Abs. 1 lit. f) DSGVO). Wir haben ein berechtigtes Interesse, Inhalte auf unserer Webseite einheitlich und in angemessener Ladezeit abzubilden.