ich.app Datenschutz - App

Veröffentlicht am 28. September 2023

 

PSA Payment Services Austria GmbH
Handelskai 92, Gate 2, 6. OG
1200 Wien
www.psa.at
Handelsgericht Wien, FN 370048 p
ATU66782626

 

Datenschutzerklärung für ich.app-Applikation des Betreibers

1. Definitionen

1.1. ich.app: ist die digitale Identität des NUTZERS. Diese wird mithilfe eines elektronischen Verfahrens, mit dem die Identität der NUTZER gesichert verifiziert, nämlich identifiziert und authentifiziert wird, festgestellt.

1.2. ich.app-Applikation: ist eine Applikation oder Anwendungssoftware, die auf mobilen Endgeräten des NUTZERS, wie zum Beispiel am Mobiltelefon heruntergeladen werden kann und mit der sich der NUTZER unter anderem registrieren und seine ich.app nutzen kann.

1.3. ich.app-Teilnehmer: ist ein Teilnehmer am ich.app-System. ich.app-Teilnehmer sind AUSGEBER, NUTZER, DATENPROVIDER, VERTRIEBSPARTNER und PARTNER, wie zum Beispiel Händler.

1.4. ich.app-Website, auch Kunden-Selfservice-Portal (KSSP): ist die Website, die dem NUTZER vom BETREIBER für die ich.app zur Verfügung gestellt wird.

1.5. ich.Ausgeber (AUSGEBER): ist ein ich.app-Teilnehmer, der die zur Identifizierung und Authentifizierung benötigten Daten des NUTZERS über eine Datenschnittstelle dem BETREIBER zur Verfügung stellt und daher NUTZERN die Möglichkeit bietet, eine ich.app zu nutzen.

1.6. ich.Ausgeber Bank (AUSGEBER BANK): ist ein AUSGEBER, der ein Kreditinstitut ist und einen Teilnahme- und Lizenzvertrag mit dem BETREIBER geschlossen hat. Regelungen, die ausschließlich AUSGEBER BANK betreffen, sind folgendermaßen gekennzeichnet: [AUSGEBER BANK].

1.7. ich.Ausgeber ID Austria (AUSGEBER ID AUSTRIA): ist ein AUSGEBER, der die eindeutige Identifikation einer natürlichen Person elektronisch nachweist. AUSGEBER ID AUSTRIA ist die gemäß § 28 E-Government-Gesetz vollziehende Behörde. Regelungen, die ausschließlich AUSGEBER ID AUSTRIA betreffen, sind folgendermaßen gekennzeichnet: [AUSGEBER ID AUSTRIA].

1.8. ich.Betreiber (BETREIBER): ist die Organisation, die unter einem oder mehreren Unternehmenskennzeichen Regeln für eine elektronische Identifizierung/Authentifizierung vorgibt, um die ich.app herauszugeben und abzuwickeln. BETREIBER ist PSA.

1.9. ich.Datenprovider (DATENPROVIDER): ist ein Dienstleister, der (personenbezogene) Daten eines NUTZERS an PARTNER liefert sowie zur Überprüfung und Validierung von ich.app-Daten herangezogen werden kann, um die Gültigkeit der Informationen zu bestätigen.

1.10. ich.ID: ist eine alphanumerische Zeichenfolge, die ein PARTNER als Unique Identifier zu einem NUTZER erhält. Diese Zeichenfolge wird automatisch generiert, wenn der NUTZER sich zum ersten Mal bei einem PARTNER identifiziert und wird in Folge bei jeder weiteren Identifizierung und Authentifizierung dem PARTNER mitübermittelt.

1.11. ich.Nutzer (NUTZER): ist die natürliche Person, die mit dem AUSGEBER einen Vertrag zur Nutzung einer ich.app und mit dem BETREIBER einen Vertrag über die ich.app-Applikationsnutzung abgeschlossen hat und sich mithilfe der ich.app für Geschäftsfälle bei PARTNERN identifiziert und/oder authentifiziert.

1.12. ich.Partner (PARTNER): ist ein ich.app-Teilnehmer, der mit dem BETREIBER oder einem seiner VERTRIEBSPARTNER einen Akzeptanzvertrag oder ich.Partner-Vertrag geschlossen hat und seinen Kunden die Möglichkeit bietet (sofern es sich um natürliche Personen handelt), sich mittels ich.app für bestimmte Geschäftsfälle zu identifizieren und authentifizieren.

1.13. ich.Partner-Vertrag: ist jener Vertrag, den der VERTRIEBSPARTNER mit einem PARTNER für die ich.app gemäß den Bestimmungen des ich.Vertriebspartner-Vertrag abschließt.

1.14. ich.Vertriebspartner (VERTRIEBSPARTNER): ist ein Unternehmen, das für eine Verbreitung der ich.app am Markt sorgen soll (zum Beispiel PSPs, Plattformbetreiber, Kreditinstitute). Der Vertriebspartner ist ein Teilnehmer, der im eigenen Namen und auf eigene Rechnung mit PARTNERN einen ich.Partner-Vertrag für die ich.app abgeschlossen hat.

1.15. Akzeptanzvertrag: ist der Vertrag, den der BETREIBER mit einem PARTNER für die ich.app abschließt.

1.16. Authentifizierung: ist das Erkennen einer natürlichen Person (NUTZER) mittels SCA der ich.app-Applikation (zum Beispiel Log-in bei einem PARTNER). Damit sich ein NUTZER bei einem PARTNER authentifizieren kann, muss vorab eine (einmalige) Identifizierung erfolgt sein.

1.17. Identifizierung: ist die Bereitstellung und Übergabe der erforderlichen ich.app-Daten einer natürlichen Person (NUTZER) an einen PARTNER, um eine Registrierung mittels einer SCA der ich.app-Applikation bei einem PARTNER vorzunehmen.

1.18. Ergänzende Daten: sind Daten, die der NUTZER seiner ich.app-Applikation direkt hinzufügen kann, ohne dass diese von einer externen Quelle (zum Beispiel AUSGEBER oder DATENPROVIDER) verifiziert werden, wie zum Beispiel zusätzliche (Liefer-)Adressen, E-Mail-Adressen oder Telefonnummern.

1.19. SCA: ist die Strong Customer Authentication (starke Kundenauthentifizierung). Dies ist eine Authentifizierung unter Heranziehung von mindestens zwei Elementen der Kategorien Wissen (etwas, das nur der NUTZER weiß, wie zum Beispiel PIN), Besitz (etwas, das nur der NUTZER besitzt, wie zum Beispiel Mobiltelefon) oder Inhärenz (etwas, das nur der NUTZER ist, wie zum Beispiel biometrische Merkmale).

1.20. Digitale Leistungen: sind digitale Inhalte oder digitale Dienstleistungen.

1.21. Digitale Inhalte: sind Daten, die in digitaler Form erstellt und ich.app-Teilnehmern bereitgestellt werden.

1.22. Digitale Dienstleistung: ist eine Dienstleistung, die dem NUTZER die Verarbeitung von Daten in digitaler Form oder den Zugang zu Daten in digitaler Form ermöglicht.

1.23. Persönlicher Code, auch PIN (Persönliche Identifizierungsnummer, Personal Identification Number): ist eine mehrstellige Ziffernkombination, die der NUTZER im Rahmen seiner Registrierung zur ich.app-Applikation selbst festlegt und die er auch jederzeit ändern kann. Die Eingabe der PIN dient als Wissensfaktor einer SCA und ermöglicht die Datenfreigabe bei einer Identifizierung und/oder Authentifizierung. Bei dreimaliger Falscheingabe des PIN wird die ich.app-Applikation gesperrt.

1.24. Stammdaten: Bei AUSGEBER BANK sind die Stammdaten: Name, Titel, kontoführendes Institut, Geschlecht, Geburtsdatum, Nationalität, Adresse/n, Mobiltelefonnummer, E-Mail-Adresse, IBAN, eID-Kennung (für die ich.app gewählte E-Mail-Adresse); bei AUSGEBER ID AUSTRIA sind die Stammdaten: Vorname, Familienname, ID AUSTRIA Level («IDA-Basis» oder «IDA-Full»), Geburtsdatum, bPK des NUTZERS, eID-Kennung (für die ich.app gewählte E-Mail-Adresse) sowie ggf. Hauptwohnsitz Meldeadresse bei Verwendung des ID AUSTRIA Level «IDA-Full».

1.25. bPK: ist das bereichsspezifische Personenkennzeichen gemäß § 9 E-Government-Gesetz.

1.26. RUID: ist der "Primary Key" hinter dem ich.app Nutzer, also einen Global Unique ID des ich.Nutzers.

 

2. Wer ist für die Datenverarbeitung verantwortlich?

2.1. Die Datenverarbeitungen werden vom BETREIBER (= Verantwortlicher) unter Einhaltung der relevanten datenschutzrechtlichen Bestimmungen durchgeführt.

Kontaktdaten des BETREIBERS:
PSA Payment Services Austria GmbH
Handelskai 92, Gate 2, 6.OG, 1200 Wien
office@psa.at
www.psa.at/impressum

2.2. Für Fragen zum Datenschutz oder die Geltendmachung von Betroffenenrechten wenden Sie sich bitte an privacy@psa.at oder per Post an PSA Payment Services Austria GmbH, zu Handen Datenschutz, Handelskai 92, Gate 2, 1200 Wien. Unseren Datenschutzbeauftragten erreichen Sie unter der E-Mail-Adresse datenschutz@psa.at oder per Post unter PSA Payment Services Austria GmbH, Handelskai 92, Gate 2, 1200 Wien.

 

3. Welche Daten werden verarbeitet? Zu welchem Zweck werden sie verarbeitet?

3.1. Allgemeines: Grundsätzlich sind zum Betrieb der ich.app-Applikation und des Kunden-Selfservice-Portal (kurz: KSSP) und der darin zur Verfügung gestellten Funktionen die Verarbeitung von persönlichen Daten, technischen Daten des genutzten Endgerätes und des Betriebssystems erforderlich. Ohne diese Datenverarbeitung ist eine Nutzung der Funktionen der ich.app-Applikation nicht möglich. Die Datenverarbeitung ist daher zur Erfüllung der vertraglichen Leistungen seitens des BETREIBERS erforderlich (Art 6 Abs 1 lit b DSGVO).

3.2. Registrierung zur ich.app über die ich.app-Applikation: Vor der erstmaligen Nutzung der ich.app muss eine Registrierung erfolgen. Diese erfolgt über die ich.app-Applikation. Dafür muss der NUTZER zuerst aus einer Liste auswählen, welche Identifizierungsart und welcher AUSGEBER die für die Identifizierung erforderlichen Daten zur Verfügung stellen soll, wobei sich je nach Identifizierungsart die verarbeiteten personenbezogenen Daten unterscheiden: [AUSGEBER BANK] Bei einem AUSGEBER BANK muss der NUTZER das Kreditinstitut auswählen und sich dann mit der Benutzerkennung (zum Beispiel Verfügernummer) seines Internetbanking Accounts anmelden. Die Bestätigung der Freigabe der ich.app erfolgt mit der starken Kundenauthentifizierung des AUSGEBERS. 1 Der Benutzername, der Name der Bank (= AUSGEBER), die Benutzerkennung (zum Beispiel Verfügernummer) sowie das Sicherheitsmerkmal des jeweiligen AUSGEBERS (zum Beispiel PIN) werden zur Registrierung des NUTZERS verarbeitet. Im Zuge der Registrierung erfolgt eine Gerätebindung, zu diesem Zweck werden technische Daten des mobilen Endgeräts und des Betriebssystems des NUTZERs verarbeitet. Nach Abschluss des Registrierungsprozesses werden dem NUTZER seine beim AUSGEBER hinterlegten Daten (Name, Titel, kontoführendes Institut, Geschlecht, Geburtsdatum, Nationalität, Adresse/n, Mobiltelefonnummer, E-Mail-Adresse, IBAN) in der ich.app-Applikation angezeigt. Diese Daten werden ebenso wie der vom NUTZER zu wählende PIN vom BETREIBER zwecks Erfassung der Stammdaten verarbeitet. Ohne diese Datenverarbeitung ist eine Nutzung dieser Funktion der ich.app-Applikation nicht möglich. Die Datenverarbeitung ist daher zur Erfüllung der vertraglichen Leistungen seitens des BETREIBERS erforderlich (Art 6 Abs 1 lit b DSGVO).

[AUSGEBER ID AUSTRIA] Bei einem AUSGEBER ID AUSTRIA muss der NUTZER ID AUSTRIA als Identifizierungsart auswählen und sich dann mit dem Benutzername/Mobiltelefonnummer und Signatur Passwort auf der ID AUSTRIA Homepage anmelden. Falls der NUTZER die Digitales Amt Applikation auf dem gleichen mobilen Endgerät installiert hat und angemeldet ist, erfolgt eine App-zu-App-Kommunikation, sodass die Eingabe von Benutzername/Mobiltelefonnummer und Signatur Passwort nicht notwendig ist. Die Bestätigung der Freigabe der ich.app erfolgt mit Zustimmung des NUTZERS in der Digitales Amt Applikation. Sofern der NUTZER zustimmt, erhält der BETREIBER die bPK des NUTZERS als eindeutiges Kennungselement, die zur jeweiligen Identifizierung des NUTZERS vom BETREIBER verarbeitet wird. Im Zuge der Registrierung erfolgt eine Gerätebindung, zu diesem Zweck werden technische Daten des mobilen Endgeräts und des Betriebssystems des NUTZERs verarbeitet. Nach Abschluss des Registrierungsprozesses werden dem NUTZER seine beim AUSGEBER hinterlegten Daten (Vorname, Familienname, ID AUSTRIA Level («IDA-Basis» oder «IDA-Full»), Geburtsdatum, bPK des NUTZERS sowie ggf. Hauptwohnsitz Meldeadresse bei Verwendung des ID AUSTRIA Level «IDA-Full») in der ich.app-Applikation angezeigt. Diese Daten werden ebenso wie der vom NUTZER zu wählende PIN vom BETREIBER zwecks Erfassung der Stammdaten verarbeitet. Ohne diese Datenverarbeitung ist eine Nutzung dieser Funktion der ich.app-Applikation nicht möglich. Die Datenverarbeitung ist daher zur Erfüllung der vertraglichen Leistungen seitens des BETREIBERS erforderlich (Art 6 Abs 1 lit b DSGVO).

3.3. HINWEIS: Freiwillige Aktivierung von Biometrie (BETREIBER nicht Verantwortlicher) Im Zuge des Registrierungsprozesses kann der NUTZER auf freiwilliger Basis Biometrie/Face ID aktivieren. So der NUTZER diese Option wählt, stellt die biometrische Erkennung des NUTZERS das Element «Inhärenz» - und damit eine Alternative zum Element «Wissen» (PIN) – einer SCA im Zusammenhang mit der Freigabe von Identifizierungen und Authentifizierungen dar. Der BETREIBER ist bezüglich dieser Verarbeitung der Biometrie (besondere Datenkategorie gemäß Art 9 Abs 1 DSGVO) jedoch nicht Verantwortlicher, da er vom Smartphone des NUTZERS lediglich eine bejahende oder verneinende (Biometrie/Face ID erfolgreich oder nicht erfolgreich) Antwort erhält. Biometrische Daten werden dabei seitens des BETREIBERS nicht verarbeitet.

3.4. Übermittlung der rechtlich vorgeschriebenen Informationen: Die E-Mail-Adresse wird zur Übermittlung der gesetzlich vorgeschriebenen Informationen (Bestätigung der Registrierung und der Zustimmung und Kenntnisnahme des NUTZERS gemäß § 18 Abs 1 Z 11 FAGG, dass mit der Vertragserfüllung vor Ablauf der Rücktrittsfrist begonnen wird und damit das Rücktrittsrecht verloren geht, Datenschutzerklärung, vorvertragliche Informationen, Allgemeine Nutzungsbedingungen) verarbeitet. Die Datenverarbeitung ist zur Erfüllung einer rechtlichen Verpflichtung erforderlich (Art 6 Abs 1 lit c DSGVO).

3.5. Identifizierung und Authentifizierung gegenüber PARTNERN: Der NUTZER kann sich, sobald er sich für die ich.app-Applikation registriert hat, mittels dieser bei PARTNERN der ich.app identifizieren und authentifizieren. Im Falle einer Identifizierung muss der NUTZER die vom PARTNER angefragten Daten nochmals in der ich.app-Applikation freigeben – das maximal übermittelte Datenset (abhängig von der Art des AUSGEBERS sowie gegebenenfalls manuell ergänzt vom NUTZER) beinhaltet folgende Daten: Name, Titel, kontoführendes Institut, Geschlecht, Geburtsdatum, Nationalität, Adresse/n, Mobiltelefonnummer, E-Mail-Adresse, IBAN, ich.ID. Im Falle einer Authentifizierung wird lediglich die ich.ID übermittelt. Die jeweils freigegebenen Daten werden im Rahmen der Identifizierung und der Authentifizierung dem PARTNER übermittelt. Ohne diese Datenverarbeitung ist eine Nutzung dieser Funktion der ich.app-Applikation nicht möglich. Die Datenverarbeitung ist daher zur Erfüllung der vertraglichen Leistungen seitens des BETREIBERS erforderlich (Art 6 Abs 1 lit b DSGVO).

3.6. Transaktionshistorie: Die durch den NUTZER durchgeführten Identifizierungen und Authentifizierungen werden in Form einer Transaktionshistorie verarbeitet. Der NUTZER kann diese über die ich.app-Applikation und das KSSP einsehen. Dazu werden die historischen Transaktionsdaten (dies können sein: Name, Titel, kontoführendes Institut, Geschlecht, Geburtsdatum, Nationalität, Adresse/n, Mobiltelefonnummer, E-Mail-Adresse, IBAN, ich.ID, Akzeptanzpartner, Datum und Uhrzeit der ich.app-Nutzung, verwendete Identifizierungs- und Authentifizierungsvariante) verarbeitet. Ohne die Verarbeitung dieser Daten ist die Nutzung dieser vertraglich vereinbarten Funktion der ich.app-Applikation nicht möglich. Die Datenverarbeitung ist daher zur Erfüllung der vertraglichen Leistungen des BETREIBERS erforderlich (Art 6 Abs 1 lit b DSGVO).

3.7. Angabe von ergänzenden Daten: Der NUTZER kann ergänzende Daten in der ich.app-Applikation speichern, um diese bei Bedarf an PARTNER weiterzugeben. Ergänzende Daten sind solche, die nicht von einem AUSGEBER oder DATENPROVIDER verifiziert wurden, sondern ausschließlich vom NUTZER selbst angegeben werden (bspw. zusätzliche Lieferadressen). Die maximal ergänzbaren Datenkategorien sind: Titel, Geschlecht, Nationalität, Adresse/n, Mobiltelefonnummer, E-Mail-Adresse, IBAN. Ohne die Verarbeitung der ergänzenden Daten ist eine Nutzung dieser Funktion der ich.app-Applikation nicht möglich. Die Datenverarbeitung ist daher zur Erfüllung der vertraglichen Leistungen seitens des BETREIBERS erforderlich (Art 6 Abs 1 lit b DSGVO).

3.8. Betrugsprävention: Da es für den sicheren Einsatz der ich.app unerlässlich ist, dass ausschließlich der berechtigte NUTZER seine ich.app verwendet, behält sich der BETREIBER vor, technische Daten des Mobiltelefons sowie des Betriebssystems des NUTZERS sowie den Benutzernamen zu verarbeiten, um Identifizierungen und Authentifizierungen in Fällen von Betrugsverdacht ablehnen zu können. Diese Datenverarbeitung ist zur Erfüllung der vertraglichen Leistungen (Art 6 Abs 1 lit b DSGVO) erforderlich.

3.9. Kundensupport: Der BETREIBER kann die vom Kunden zur Verfügung gestellte oder vom AUSGEBER bereitgestellte Telefonnummer oder andere Kontaktadresse für Supportfälle nutzen, um den Kunden aktiv zu kontaktieren (im Falle eines vom BETREIBER erkannten Problems oder zur Abklärung eines Betrugsverdachtes oder dergleichen.). Die Datenverarbeitung ist daher zur Erfüllung der vertraglichen Leistungen seitens des BETREIBERS erforderlich (Art 6 Abs 1 lit b DSGVO).

 

4. An wen werden die Daten weitergegeben?

Intern: Innerhalb der Organisation des BETREIBERS haben nur wenige berechtigte Personen der Abteilungen «Products», «Customer Services» und «IT» Zugriff auf die personenbezogenen Daten.

Auftragsverarbeiter: Zum Betrieb der ich.app-Applikation bedient sich der BETREIBER folgender technischer Dienstleister, die als Auftragsverarbeiter iSd Art 4 Z 8 DSGVO agieren:

  • „World-Direct eBusiness solutions GesmbH”
  • „Worldline Austria GmbH“
  • „LexisNexis Risk Solutions UK Limited”
  • „bluesource - mobile solutions gmbH”
  • “smartsolutions Beratungs GmbH”

Die Daten werden von diesen im Auftrag des BETREIBERS ausschließlich für die oben genannten Zwecke verarbeitet.

Empfänger: Die vom NUTZER freigegebenen Daten werden im Rahmen der Identifizierung und der Authentifizierung an den jeweiligen PARTNER übermittelt. Je nach Sitz des PARTNERS werden die Daten auch an Staaten übermittelt, die keine EU- oder EWR-Mitgliedstaaten sind und für die allenfalls kein Angemessenheitsbeschluss beziehungsweise keine geeigneten Garantien auf Datenschutz gemäß Art 45 und 46 DS-GVO vorliegen. Bei Übermittlung der Daten in Staaten ohne Angemessenheitsbeschluss oder geeignete Garantien bestehen mögliche Risiken (zum Beispiel sind dort möglicherweise keine datenschutzrechtlichen Aufsichtsbehörden eingerichtet oder keine Rechte für betroffene Personen vorgesehen).

Der NUTZER entscheidet selbst, welche Daten er gegenüber welchem PARTNER freigibt, das heißt er entscheidet, in welche Staaten die Daten übermittelt werden. Benutzername, technische Daten des Mobiltelefons sowie des Betriebssystems werden an «Lexis Nexis Risk Solutions UK Limited» übermittelt.

Unter Umständen wird die Transaktionshistorie eines NUTZERS an seinen AUSGEBER weitergegeben.

 

5. Wie lange werden die Daten verarbeitet?

[AUSGEBER BANK] Das Sicherheitsmerkmal des jeweiligen AUSGEBERS (zum Beispiel Internetbanking PIN) wird im Zuge der Registrierung verarbeitet, um den NUTZER in seine Internetbankingumgebung weiterzuleiten, wird jedoch vom BETREIBER nicht gespeichert oder auf sonstige Art und Weise verarbeitet. Die Stammdaten werden mit Ausnahme der Bankkennung (zum Beispiel Verfügernummer) des NUTZERS und die eID-Kennung (die E-Mail-Adresse, die der NUTZER als Nutzername für die ich.app verwendet) sowie die technische ID («RUID») bei Beendigung der Geschäftsbeziehung (Deregistrierung oder einjährige Nicht-Nutzung der ich.app) gelöscht. Die Transaktionsdaten des NUTZERS werden pseudonymisiert (zugeordnet durch Bank-Verfüger des NUTZERS, eID-Kennung bzw. die technische ID («RUID»)) drei Jahre nach Beendigung der Geschäftsbeziehungen zwischen dem BETREIBER und dem NUTZER und nach Ablauf allfälliger gesetzlicher Aufbewahrungspflichten beim BETREIBER archiviert und dann gelöscht.

[AUSGEBER ID AUSTRIA]: Die Stammdaten werden mit Ausnahme des bPK des NUTZERS und die vom NUTZER angegebene E-Mail-Adresse (eID-Kennung) sowie die technische ID («RUID») bei Beendigung der Geschäftsbeziehung (Deregistrierung oder einjährige Nicht-Nutzung der ich.app) gelöscht. Die Transaktionsdaten des NUTZERS werden pseudonymisiert (zugeordnet durch bPK des NUTZERS, eID-Kennung bzw. die technische ID («RUID»)) drei Jahre nach Beendigung der Geschäftsbeziehungen zwischen dem BETREIBER und dem NUTZER und nach Ablauf allfälliger gesetzlicher Aufbewahrungspflichten beim BETREIBER archiviert und dann gelöscht.

Die Daten im Zusammenhang mit der Betrugsprävention werden für 25 Monate gespeichert.

 

6. Rechte nach der Datenschutz-Grundverordnung:

  • Recht auf Auskunft über die Verarbeitung Ihrer Daten (Art 15 DS-GVO): Der NUTZER hat das Recht auf Informationen über die Verarbeitung seiner Daten.
  • Recht auf Berichtigung der Nutzerdaten (Art 16 f DS-GVO)
  • Recht auf Löschung der Nutzerdaten (Art 16 f DS-GVO): Voraussetzung zur Löschung ist:
    • Die Daten sind für die Zwecke, für die sie erhoben wurden, nicht mehr erforderlich.
    • Die Datenverarbeitung basiert ausschließlich auf einer ausdrücklichen Einwilligung und diese Einwilligung wird widerrufen.
    • Bei Widerspruch gegen die Datenverarbeitung und wenn keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen.
    • Die Daten werden unrechtmäßig verarbeitet.
    • Die Löschung ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder österreichischen Recht erforderlich.
  • Ausnahmsweise kann einem Löschungsbegehren nicht entsprochen werden, wenn die Verarbeitung erforderlich ist:
    • zur Ausübung des Rechts auf freie Meinungsäußerung;
    • zur Erfüllung einer rechtlichen Verpflichtung nach dem Recht der Europäischen Union oder österreichischem Recht;
    • aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit;
    • für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Zweck oder für statistische Zwecke, soweit durch die Löschung die Verwirklichung dieser Zwecke unmöglich oder ernsthaft beeinträchtig wird;
    • zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
  • Recht auf Einschränkung der Datenverarbeitung (Art 18 DS-GVO): Der NUTZER hat das Recht, die Einschränkung der Verarbeitung seiner Daten zu verlangen, wonach der BETREIBER diese – von der Speicherung abgesehen – nur mit der entsprechenden Einwilligung verarbeiten darf. Diese Einschränkung ist nur bei Vorliegen der Voraussetzungen des Art 18 DS-GVO möglich. Dem Verlangen auf Einschränkung kann nicht entsprochen werden, wenn die Daten zur Erreichung der oben genannten Zwecke erforderlich sind.
  • Widerspruchsrecht gegen die Datenverarbeitung (Art 21 DS-GVO): Der NUTZER hat das Recht, der Verarbeitung seiner Daten aus Gründen, die sich aus seiner besonderen Situation ergeben, zu widersprechen, sofern die Datenverarbeitung in Wahrnehmung einer Aufgabe im öffentlichen Interesse oder zur Wahrung berechtigter Interessen des BETREIBERS erfolgt. Der BETREIBER prüft den Widerspruch des NUTZERS und wird dessen Daten bei Vorliegen der Voraussetzungen nicht mehr verarbeiten, es sei denn, diese sind zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich.
  • Recht auf Datenübertragbarkeit (Art 20 DS-GVO): Der NUTZER hat das Recht, die zur Verfügung gestellten Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sofern die Datenverarbeitung ausschließlich auf Grundlage der ausdrücklichen Einwilligung oder zur Erfüllung eines Vertragsverhältnisses erfolgt.
  • Recht auf Beschwerde bei der Aufsichtsbehörde (Art 77 DS-GVO): Sollten NUTZER der Ansicht sein, dass die Datenverarbeitung nicht rechtmäßig ist, kann der NUTZER Beschwerde bei der zuständigen Aufsichtsbehörde einlegen. In Österreich ist für solche Beschwerden die Datenschutzbehörde (Barichgasse 40-42, 1030 Wien) zuständig. NUTZER können aber auch bei einer anderen Datenschutzbehörde in der Europäischen Union, insbesondere an ihrem Aufenthalts- oder Arbeitsort, Beschwerde erheben.

Sämtliche Anfragen und Anträge kann der NUTZER an den BETREIBER per Post oder per E-Mail an die oben (siehe Punkt 2) genannten Kontaktdaten übermitteln.

Bei offenkundig unbegründeten oder - insbesondere im Falle von häufiger Wiederholung – exzessiven Anträgen behält sich der BETREIBER das Recht vor, dem NUTZER ein angemessenes Verwaltungsentgelt für den Aufwand in Rechnung zu stellen oder den Antrag nicht zu bearbeiten.

7. Keine Verpflichtung zur Bereitstellung von Daten

NUTZER sind nicht verpflichtet, ihre Daten bereitzustellen. So die Daten nicht zur Verfügung gestellt werden, kann der BETREIBER jedoch allenfalls seine Leistungen nicht erbringen.

Sofern die Datenverarbeitung auf einer Einwilligung beruht, können NUTZER diese jederzeit mit Wirkung für die Zukunft widerrufen. Derartige Widerrufe kann der NUTZER an den BETREIBER per Post oder E-Mail an die oben (siehe Punkt 2) genannten Kontaktdaten übermitteln.

8. Keine automatisierte Entscheidungsfindung

Der BETREIBER verarbeitet keine personenbezogenen Daten in automatisierten Entscheidungsverfahren. Auch ein Profiling findet nicht statt.