Datenschutzhinweise für ginlo Business

  1. Einleitung
  2. Personenbezogene Daten
  3. Name und Kontaktdaten des Verantwortlichen und der Datenschutzbeauftragten
  4. Zuständige Aufsichtsbehörde
  5. Zwecke und Rechtsgrundlage der Datenverarbeitung
  6. Speicherdauer
  7. Empfänger oder Kategorien von Empfängern
  8. Drittstaatentransfer
  9. Betroffenenrechte
  10. Datensicherheit
  11. Stand der Datenschutzinformationen

1. Einleitung

Die Brabbler Secure Message and Data Exchange Aktiengesellschaft AG (nachfolgend Brabbler AG genannt) freut sich über Ihr Interesse an ginlo Business. Der Schutz Ihrer personenbezogenen Daten bei der Verarbeitung während des gesamten Geschäftsprozesses ist für uns ein wichtiges Anliegen und wir möchten, dass Sie sich beim Besuch unserer Internetseiten und bei der Nutzung unserer Services sicher fühlen.

Im Folgenden erläutern wir, welche Informationen wir bei Brabbler AG während des Besuchs auf den Internetseite von ginlo Business und bei der Benutzung der ginlo Business Apps erfassen und wie diese genutzt werden.

2. Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (betroffene Person) beziehen; als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind. Darunter fallen Informationen wie z. B. Ihr richtiger Name, Ihre Anschrift, Ihre Telefonnummer und Ihr Geburtsdatum. Informationen, die nicht direkt mit Ihrer wirklichen Identität in Verbindung gebracht werden – wie z. B. die Anzahl der Nutzer einer Seite – sind keine personenbezogenen Daten.

3. Name und Kontaktdaten des Verantwortlichen und der Datenschutzbeauftragten

Diese Datenschutzhinweise gelten für die Datenverarbeitung der

Brabbler Secure Message and Data Exchange Aktiengesellschaft
Ria-Burkei-Straße 26
81249 München/Deutschland

Telefon: +49 89 95 45 94 7-0
E-Mail: datenschutz@brabbler.ag

Wenn Sie Fragen in Bezug auf die Verarbeitung Ihrer personenbezogenen Daten haben, wenden Sie sich bitte an unseren Datenschutzbeauftragten. Dieser steht Ihnen bei Auskunftsersuchen, Anregungen oder Beschwerden zur Verfügung.

Brabbler Secure Message and Data Exchange Aktiengesellschaft
- Datenschutzbeauftragter -
Ria-Burkei-Straße 26
81249 München/Deutschland
E-Mail: datenschutzbeauftragter@brabbler.ag

4. Zuständige Aufsichtsbehörde

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 25
91522 Ansbach

Weitere Informationen finden Sie unter diesem Link: https://www.lda.bayern.de/de/kontakt.html
Sie können eine Beschwerde allerdings bei jeder Aufsichtsbehörde innerhalb der EU abgeben.

5. Zwecke und Rechtsgrundlage der Datenverarbeitung

5.1 Besuch der Webseite

Die Brabbler AG ist verpflichtet, die Privatsphäre der Nutzer unserer Websites zu schützen. Wenn Sie unsere Webseiten besuchen, speichern unsere Webserver zu Verbindungs-, Einrichtungs- und Sicherheitszwecken stets temporär die Verbindungsdaten des mit unserer Webseite verbundenen Rechners, eine Liste der Webseiten, die Sie bei uns besuchen, das Datum und die Dauer Ihres Besuches, die IP-Adresse Ihres Gerätes, die Identifikationsdaten des Typs des verwendeten Browsers und Betriebssystems sowie die Webseite, über die Sie auf unsere Webseite gelangt sind. Darüberhinausgehende personenbezogene Daten wie Ihr Name, Ihre Anschrift, Telefonnummer oder E-Mail-Adresse werden nicht erfasst, es sei denn, diese Angaben werden von Ihnen freiwillig gemacht, z. B. im Rahmen einer Registrierung, einer Umfrage, eines Preisausschreibens, zur Durchführung eines Vertrags oder einer Informationsanfrage.

Die Rechtsgrundlage für die Verarbeitung der vorgenannten Datenkategorien ist Art. 6 Absatz 1 lit. f DSGVO. Aus diesen Gründen, insbesondere zur Gewährleistung der Sicherheit und eines reibungslosen Verbindungsaufbaus, haben wir ein berechtigtes Interesse an der Verarbeitung dieser Daten.

Die Daten werden für einen Zeitraum von max. 7 Tagen gespeichert und anschließend automatisch gelöscht. Darüber hinaus setzen wir Cookies, Tracking-Tools und Targeting-Maßnahmen ein.

5.2 Nutzung von ginlo Business

Um Ihnen ginlo Business zur Nutzung zur Verfügung zu stellen, benötigen wir auch personenbezogene Daten von Ihnen. Diese Daten werden zur Durchführung des Vertrags – Nutzung von ginlo Business – verwendet. Die Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, da die Verarbeitung für die Erfüllung eines Vertrags erfolgt, an dem Sie beteiligt sind. Weitere Informationen finden Sie im Folgenden.

5.2.1 Definitionen

ginlo Business ist ein internetbasierter, plattformübergreifender Dienst zum sicheren Austausch von Nachrichten zwischen Nutzern von mobilen Endgeräten und Desktop-Endgeräten. In diesem Zusammenhang gelten folgende Definitionen:

  • App-Messenger: Messenger auf Basis von Mobile Apps zur Nutzung von ginlo Business auf Smartphones.
  • Messenger: Applikation zur Kommunikation über ginlo Business als App-Messenger oder Web-Messenger.
  • Web-Messenger: Messenger auf Basis von Webbrowsern zur Nutzung von ginlo Business auf Desktop-Geräten und Tablets.

5.2.2 Erhebung und Verarbeitung von Daten bei der Registrierung

Für die Registrierung eines ginlo Business Nutzerkontos werden über den Messenger die Mobilnummer und/oder E-Mail-Adresse und optional Profilname und Profilbild erfasst. Neben diesen kann in ginlo Business optional das Feature E-Mail-Verzeichnis genutzt werden. Hierzu ergänzt der Nutzer seinen Namen, Vornamen und die berufliche E-Mail-Adresse. Letztere wird über einen Aktivierungscode, der per E-Mail zugestellt wird, verifiziert. Die Mobilnummer bzw. E-Mail-Adresse wird gehasht auf dem ginlo Server gespeichert.

Für das öffentliche Adressbuch wird der Domäne-Part der E-Mail-Adresse mit einem bestimmten Wert gehasht. Das sorgt dafür, dass alle Nutzer der gleichen Domäne anhand des Domäne-Hashes als zusammengehörig erkannt werden können. Da die Domäne das einzige ist, was die Nutzer gemeinsam haben, wird aus der Domäne mithilfe von Algorithmen ein AES-Schlüssel gebildet. Mit diesem AES-Schlüssel werden die Nutzerdaten (Name, Vorname, E-Mail-Adresse) verschlüsselt. Auf Basis der gemeinsamen Domäne wird in verifizierten Messengern ein Verzeichnis aufgebaut, das den Namen und Vornamen des Nutzers anzeigt.

Sie können ginlo Business auch ohne den Zugriff auf Ihre Kontakte nutzen. Wenn Sie sich bei ginlo Business anmelden und den Zugriff auf die Telefonbuch-Kontakte Ihres Smartphones explizit zustimmen, werden diese zum verhashten Abgleich an den Server geladen und anschließend wieder gelöscht. Kontakte, die Ihre Nummer in Ihrem Telefonbuch gespeichert haben und die ebenfalls ginlo oder ginlo Business nutzen, werden bei entsprechender Suche über Ihre Anmeldung informiert.

5.2.3 Erhebung und Verarbeitung von Daten zur Nutzung des Messengers

ginlo Business speichert lokal auf Ihrem Messenger verschlüsselt Ihre Login-Daten (Profilname, Mobilnummer und/oder E-Mail-Adresse und Passwort), damit Sie sich dauerhaft anmelden können. Ebenfalls werden Ihre Kommunikationsdaten lokal und verschlüsselt in dem Messenger gespeichert. Auf unseren Servern, die ihren Standort in Deutschland haben, werden ausschließlich Ihre Mobilnummer und/oder E-Mail-Adresse sowie Profilbild und Profilname verschlüsselt gespeichert.

Nachrichten werden Ende-zu-Ende-verschlüsselt auf unseren Servern nur zwischengespeichert. Auf dem Server wird jede Nachricht 90 Tage nach dem Versand gelöscht. Nachrichten, die während dieser 90 Tage auf dem Server verfügbar sind, werden zwischen mehreren Endgeräten des gleichen ginlo Business Nutzerkontos synchronisiert, sodass diese Nachrichten auf allen verwendeten Endgeräten verfügbar sind. Ein Nutzerkonto kann inklusive aller seiner Dateien auf unseren Servern restlos vom Nutzer selbst unter den Profileinstellungen gelöscht werden.

5.2.4 Bedeutung und Verwendung des Passworts

Bei der Erstellung eines ginlo Business Nutzerkontos wird auf Ihrem Gerät ein RSA-Schlüsselpaar generiert. Der private Schlüssel wird mit dem von Ihnen gewählten Geräte-Passwort verschlüsselt und kann nur mit diesem Ihrem Geräte-Passwort wieder entschlüsselt werden. Zusätzlich kann der Nutzer bei der Anlage des Schlüsselpaars auch optional einen „Recovery Code“ erzeugen lassen, welcher verschlüsselt auf dem Gerät gespeichert wird. Niemand außer Ihnen selbst, also auch nicht die Brabbler AG, kennt Ihren privaten Schlüssel.

Wenn Sie Ihr Geräte-Passwort vergessen und in dem Messenger entsprechende Funktion aktiviert haben, können Sie sich den „Recovery Code“ von Ihrem Gerät über einen vorher definierten sicheren separaten Kommunikationskanal senden lassen, sodass Sie die Anwendung entsperren und ein neues Geräte-Passwort vergeben können. Der Recovery Code wird in einem sicheren Verfahren berechnet und wird nur auf Ihren ausdrücklichen Wunsch von Ihrem Endgerät angefordert. Wenn Sie die entsprechende Funktion in den Einstellungen nicht aktiviert haben, können Sie das Gerät nicht weiterverwenden, und die gespeicherten Nachrichten sind nicht mehr zugreifbar. Das Passwort bei ginlo Business ist somit sehr wichtig. Schalten Sie die Passwortabfrage ab, müssen Sie das Passwort dennoch immer kennen, um z. B. Ihr Profil zu löschen und um Passwort-Einstellungen zu ändern.

5.2.5 Erhebung und Verarbeitung von Daten im Management Cockpit

Für die Bestellung von Business-Lizenzen über die Webseite werden Rechnungs-begründende Informationen des Geschäftskunden erfasst. Diese sind: Name, Straße, Hausnummer, Postleitzahl, Stadt, Land und Umsatz-Steuer-Id. Das Management Cockpit ist ein Web-Anwendung, welche aus Sicherheitsgründen (2-Faktor-Authentifizierung) mit einem persönlichen Browser-Zertifikat und einem Passwort-Login geschützt ist.

Damit für den Administrator ein Zertifikat erstellt werden kann, werden weitere Informationen benötigt. Diese sind: Nachname, Vorname, E-Mail-Adresse (Login), Mobilnummer (SMS-Verifizierung), Domain-Name (Adressverzeichnis) und letztlich das Clientzertifikat. Die vorgenannten Daten werden unverschlüsselt im Management Cockpit gespeichert. Hier kann der Administrator auch einzelne Daten (z. B. Anschrift) aktualisieren und neue Lizenzen nachbestellen.

Zugriff auf die Firmen-Daten auf der ginlo Datenbank hat der Applikationsserver, um die Web-Anwendung für das Management Cockpit bereitstellen zu können. In der ginlo Datenbank werden der Name der Firma und die gehashte Domain gespeichert. Zu den Lizenzen werden Gutscheincodes dem Management Cockpit anonymisiert zugeordnet. Über das Dashboard des Management Cockpit kann der Administrator für eine effektive Steuerung anonymisierte Informationen zu Nutzern und Nachrichten in Einzel-, Gruppenchats oder Kanälen auswerten. Es liegt dabei in der Verantwortung des Administrators, Gruppen mit ausreichender Größe (mind. 7 Nutzer) zu definieren, sodass keine datenschutzrechtlichen Rückschlüsse auf das Verhalten einzelner Nutzer zu ziehen sind.

5.2.6 Erhebung und Verarbeitung von Daten zur Qualitätssicherung

Die App sendet standardmäßig im Hintergrund einen Absturzbericht, z. B. beim Absturz der Software oder bei einem Serverfehler. Wir verwenden diese Daten gemäß diesen Datenschutzhinweisen, um die ginlo Business App kontinuierlich zu verbessern und Fehler ausfindig zu machen. Die Fehlerberichte enthalten keine Nutzerinhalte oder User-IDs, die uns eine Zuordnung zur Ihrer Person ermöglichen. Wenn Sie keinen Absturzbericht senden möchten, können Sie die Funktion jederzeit in den Einstellungen deaktivieren.

6. Speicherdauer

Ihre personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus aufgrund gesetzlicher Aufbewahrungsfristen erfolgen. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine gesetzlich vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

7. Empfänger oder Kategorien von Empfängern

Die Brabbler AG gibt Ihre personenbezogenen Daten nicht an Dritte weiter und wird dies auch in Zukunft nicht tun, es sei denn, dies ist gesetzlich vorgeschrieben, für den Vertragszweck erforderlich oder Sie haben ausdrücklich eingewilligt.

Externe Dienstleister, die Daten in unserem Auftrag verarbeiten, bieten hinreichend Garantien dafür, dass geeignete technische und organisatorische Maßnahmen so durchgeführt werden, dass die Verarbeitung im Einklang mit den Anforderungen der EU Datenschutz-Grundverordnung erfolgt. Sie sind gemäß Art. 28 DSGVO vertraglich u. a. zur strikten Geheimhaltung verpflichtet. In diesen Fällen ist die Brabbler AG weiterhin verantwortlich für den Schutz Ihrer personenbezogenen Daten. Die externen Dienstleister verarbeiten die personenbezogenen Daten nur auf dokumentierter Weisung der Brabbler AG.

8. Drittstaatentransfer

Der Drittstaatentransfer bedeutet, dass die Daten in einen Staat außerhalb des Europäischen Wirtschaftsraums (EWR) weitergeleitet werden, oder es erfolgt ein Zugriff von dort. Die Verarbeitung Ihrer Daten in einem Drittstaat erfolgt bei ginlo Business grundsätzlich nicht.

9. Betroffenenrechte

Ihnen stehen die folgenden Betroffenenrechte zu:

  • Auskunft über die Daten zu erhalten, die wir über Sie gespeichert haben,
  • Berichtigung, sofern Ihre Daten nicht korrekt gespeichert sind,
  • Löschung oder – sofern Speicherpflichten bestehen – Einschränkung der Verarbeitung der für den genannten Zweck nicht mehr erforderlichen Daten,
  • Daten, die von ihnen bereitgestellt wurden, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten,
  • Widerspruch einzulegen, sofern die Verarbeitung Ihrer Daten auf einem berechtigten Interesse beruht/ gegen die Verwendung zu Werbezwecken/ gegen eine ausschließlich auf automatisierte Verarbeitung beruhenden Entscheidung einschließlich Profiling,
  • Beschwerde bei der zuständigen Aufsichtsbehörde einzulegen, sofern Sie Zweifel an einer datenschutzkonformen Verarbeitung Ihrer Daten haben.

Bzgl. der Geltendmachung Ihrer Rechte wenden Sie sich bitte an die folgenden Stellen: postalisch an die Adresse Brabbler Secure Message and Data Exchange Aktiengesellschaft, Ria-Burkei-Straße 26, 81249 München/Deutschland oder per E-Mail an datenschutz@brabbler.ag. Sofern Sie Ihre Einwilligung in eine bestimmte Art der Verarbeitung erteilt haben, können Sie diese jederzeit mit Wirkung für die Zukunft an der im Rahmen der Einwilligung angegeben Anschrift widerrufen.

10. Datensicherheit

Die Brabbler AG ergreift alle notwendigen technischen und organisatorischen Sicherheitsmaßnahmen, um Ihre personenbezogenen Daten vor Verlust und Missbrauch zu schützen. Beispielsweise werden Ihre Daten in einer sicheren Betriebsumgebung gespeichert, die der Öffentlichkeit nicht zugänglich ist. In bestimmten Fällen werden Ihre persönlichen Daten während der Übertragung durch die Secure Socket Layer-Technologie (SSL) verschlüsselt. Dies bedeutet, dass für die Kommunikation zwischen Ihrem Computer und den Brabbler AG-Servern ein zugelassenes Verschlüsselungsverfahren verwendet wird, wenn Ihr Browser SSL unterstützt. Der Inhalt von E-Mail-Nachrichten kann von Dritten gelesen werden. Wir empfehlen Ihnen daher, uns vertrauliche Informationen nur auf dem Postweg zukommen zu lassen.

11. Stand der Datenschutzinformationen

Die Brabbler AG behält sich das Recht vor, ihre Datenschutzerklärung jederzeit mit oder ohne vorherige Ankündigung zu ändern. Bitte schauen Sie regelmäßig vorbei, um über Änderungen informiert zu werden. Diese Aussage wurde zuletzt im Juni 2019 aktualisiert.