Basis Zaikio-Account Datenschutzerklärung

Diese Datenschutzerklärung beschreibt wie Zaikio GmbH, Emmerich-Josef-Str. 1A, 55116 Mainz, Deutschland, +49 (0) 6131 617 1000, info@zaikio.com („Zaikio“ oder „wir“ oder „uns“ oder „unser“) als Verantwortlicher personenbezogene Daten und andere Informationen von Nutzern („Sie“ oder „Ihr“) insbesondere im Sinne der Datenschutzgrundverordnung („DSGVO“) verarbeitet, wenn diese einen Zaikio Account („Zaikio Account“) erstellen und nutzen, mit dem auf unsere cloudbasierte Plattform für die Printmedien-Industrie („Zaikio Plattform“) zugegriffen werden kann.

1. Kategorien personenbezogener Daten, Verarbeitungszwecke und Rechtsgrundlagen

Wenn Sie einen Zaikio Account erstellen und nutzen, verarbeiten wir Ihre personenbezogenen Daten für die jeweils nachfolgend beschriebenen Zwecke. Wir verfahren grundsätzlich nach dem Grundsatz der Datensparsamkeit und erheben nur solche Daten in unseren Produkten, die für deren Funktionsweise erforderlich sind. Wir speichern keine Daten auf Vorrat für den einzigen Zweck der Datenauswertung. Die Zurverfügungstellung Ihrer personenbezogenen Daten für die nachfolgenden Zwecke ist freiwillig. Wenn Sie die personenbezogenen Daten jedoch nicht zur Verfügung stellen, sind wir nicht in der Lage, die entsprechenden Leistungen Ihnen gegenüber zu erbringen.

1.1. Erstellung eines Zaikio Accounts

Wenn Sie einen Zaikio Account erstellen, werden Sie gebeten, die folgenden personenbezogenen Daten zur Verfügung zu stellen: Ihren Namen, E-Mail-Adresse, ausgewähltes Passwort. Wir verarbeiten diese personenbezogenen Daten um Ihren Zaikio Account zu erstellen. Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten für diese Zwecke ist der mit Ihnen geschlossene Vertrag über die Nutzung des Zaikio Accounts (Art. 6 (1) lit. b) DSGVO).

1.2. Login und single-sign-on

Wenn Sie sich in Ihrem Zaikio Account einloggen, verarbeiten wir Ihre Login Informationen (d.h., Ihre E-Mail-Adresse und Passwort), um Sie zu identifizieren und Ihnen Zugang zu den Diensten der Zaikio Plattform zu gewähren. Ihr Zaikio Account dient als single-sign-on, d.h. Sie müssen sich nicht für jeden Dienst, der über die Zaikio Plattform zur Verfügung gestellt wird, separat anmelden, nachdem Ihr Account authentifiziert wurde. Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten für diese Zwecke ist der mit Ihnen geschlossene Vertrag über die Nutzung des Zaikio Accounts (Art. 6 (1) lit. b) DSGVO).

1.3. Nutzung von Apps

Wenn Sie Ihren Zaikio Account nutzen, um sich in bestimmten Apps einzuloggen, die auf der Zaikio Plattform zur Verfügung gestellt werden, kann es erforderlich sein, bestimmte in Ihrem Zaikio Account gespeicherte Daten mit der entsprechenden App zu teilen. Wir werden Sie über die jeweils von der App angeforderten Datenkategorien informieren und Sie um Zustimmung bitten, bevor wir der App den Zugriff auf die entsprechenden Informationen in Ihrem Account gewähren. Wenn Sie dem Datenaustausch zwischen Ihrem Zaikio Account und der entsprechenden App nicht zustimmen, können Sie sich ggf. nicht in der App einloggen. Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten für diese Zwecke ist der mit Ihnen geschlossene Vertrag über die Nutzung des Zaikio Accounts (Art. 6 (1) lit. b) DSGVO).

1.4. Newsletter Registrierung

Mit Ihrem Zaikio Account können Sie sich für unseren Newsletter registrieren, den wir in regelmäßigen Abständen versenden, um Sie über unsere Leistungen und Angebote zu informieren. Um sich für unseren Newsletter zu registrieren, benötigen Sie eine gültige E-Mail-Adresse. Wenn Sie sich für unseren Newsletter registrieren, speichern wir auch Ihre IP-Adresse und das Datum sowie die Uhrzeit Ihrer Registrierung. Wir nutzen diese Daten nur für die Zwecke des Newsletters und teilen diese Daten nicht mit Dritten. Sie können sich jederzeit von unserem Newsletter wie in dem Newsletter beschrieben abmelden. Rechtsgrundlage der Verarbeitung Ihrer personenbezogenen Daten für den Versand der Newsletter ist Ihre Einwilligung (Art. 6 (1) lit. a) DSGVO).

1.5. Passiv erhobene Informationen

Zusätzlich zu den personenbezogenen Daten, die Sie uns aktiv zur Verfügung stellen, können wir automatisiert bestimmte Informationen in pseudonymisierter Weise von Ihnen erheben, verarbeiten und speichern:

  • Geräte- und Nutzungsinformationen - dies kann beinhalten (i) spezifische Informationen zu dem beim Einloggen in den Zaikio Account genutzten Gerät (einschließlich, aber nicht ausschließlich, Modell, Betriebssystem, IP-Adresse, Sprache, Betreiber und ähnliche Informationen) und (ii) Informationen über die genutzten Features, Funktionen oder Benachrichtigungen auf dem Gerät, um Sie wiederzuerkennen und Trends zu analysieren.
  • Analytics - bspw. wie oft Sie den Zaikio Account nutzen, aggregierte Nutzung, Leistungsdaten. Wir nutzten Analytics um uns zu ermöglichen, die Funktionalität und Nutzung des Zaikio Accounts besser zu verstehen.

Die Rechtsgrundlage für diesen Zweck sind unsere folgenden berechtigten Interessen (Art. 6 (1) lit. f) DSGVO): Die Leistung des Zaikio Accounts zu überwachen und aufrechtzuerhalten und Trends, Nutzung und Handlungen im Zusammenhang mit dem Zaikio Account zu analysieren.

2. Verschlüsselung

Alle Daten, die von und zu der Zaikio Plattform gesendet werden, sind nach aktuellem Stand der Technik verschlüsselt (HTTPS/TLS). Dies gilt insbesondere für alle Programmierschnittstellen („APIs“) sowie mobilen Applikation auf iPads und iPhones, sowie unsere internen Werkzeuge. Sämtliche von uns verwendeten Datenbanken, die personenbezogene Daten enthalten, sind vollständig verschlüsselt. Sollten personenbezogene Daten zu Entwicklungszwecken auf lokalen Rechnern benötigt werden, werden diese dort ebenfalls verschlüsselt gespeichert. Wir bemühen uns diese Fälle auf ein Minimum zu reduzieren und arbeiten an Techniken durch die wir auch zu Testzwecken anonymisierte Daten verwenden können.

3. Empfänger

3.1. Übermittlungen an Dienstleister

Wir beauftragen ggf. Dienstleister, die als Auftragsverarbeiter für uns tätig werden, um bestimmte Leistungen uns gegenüber zu erbringen. Im Rahmen der Leistungserbringung können die externen Dienstleister Zugriff auf Ihre personenbezogenen Daten haben oder diese verarbeiten. Insbesondere setzten wir die folgenden Dienstleister für die folgenden Zwecke ein:

  • Wir betreiben keine eigenen Server. Stattdessen nutzen wir den Platform as a Service „Heroku“ von Salesforce Inc., USA. Der Service basiert technisch auf Amazon AWS. Alle Daten, einschließlich Back-ups, sind verschlüsselt und werden ausschließlich in Datenbanken innerhalb der EU gespeichert und verarbeitet.
  • Wir nutzen „Amazon S3“ von Amazon Inc., USA, um unterschiedliche Dokumente zu speichern. Personenbezogene Daten sind mit entsprechenden Schutzmechanismen versehen und können nicht öffentlich abgerufen werden.
  • Wir nutzen „Amazon AWS Cloudfront“ von Amazon Inc., USA, zur schnelleren Auslieferung von Daten. Hierbei handelt es sich grundsätzlich nicht um personenbezogene oder nicht öffentliche Daten.
  • Um E-Mails zu versenden, nutzen wir den E-Mail Dienst „Postmark“ von Wildbit LLC, USA. Dieser Dienstleister verarbeitet somit personenbezogene Daten wie E-Mail-Adressen und Empfänger- und Sendernamen. E-Mails werden für einen Zeitraum von 45 Tagen zum Zwecke der Fehleranalyse gespeichert. Danach werden alle E-Mails unwiderruflich gelöscht. · Wenn Sie sich für unseren Newsletter registrieren, werden Ihre in diesem Zusammenhang erhobenen personenbezogenen Daten (E-Mail-Adresse, IP- Adresse, Datum und Uhrzeit Ihrer Registrierung) an einen Server der Firma The Rocket Science Group in den USA übertragen und dort gespeichert.
  • Zum direkten Kundenkontakt nutzen wir das Chat-Werkzeug „Intercom“ von Intercom Inc., USA. Wir geben Ihren Namen und Ihre E-Mail-Adresse sowie ggf. auch Ihre IP-Adresse im Kundenservice an Intercom weiter.
  • Wir nutzen intern sowie in der Kommunikation mit einigen unserer Kunden das Tool „Slack“ von Slack Inc., Irland. Hier werden möglicherweise auch in geringem Umfang personenbezogene Daten gespeichert, wenn diese in Chat-Nachrichten erwähnt werden. Als Absicherung unsererseits in Streitfällen archivieren wir Chats und Dateien für einen Zeitraum von 5 Jahren. Danach werden diese unwiderruflich gelöscht.
  • Wir nutzen Logging Tools wie „AppSignal“ von AppSignal B.V., Niederlande, und „Papertrail“ von SolarWinds Worldwide, LLC, USA. Hier wird jeder Zugriff auf unsere Produkte protokolliert, um im Problemfall Fehleranalysen durchführen zu können. Unsere Produkte sorgen bereits beim Erstellen von Log-Meldungen dafür, dass personenbezogene Daten gefiltert werden. Lediglich die IP-Adresse der eingehenden Anfragen wird gespeichert, sofern erforderlich. Ansonsten speichern wir Datum und Uhrzeit Ihres Zugriffs und die Webseite oder API Endpunkt, die Sie besuchen. Alle Logdaten werden nach 7 Tage gelöscht.
  • Zur Messung der Straßenentfernung zwischen zwei Standorten nutzen wir die „Google Maps“ API der Firma Google Inc., USA. Wir übermitteln dabei die Startadresse und Zieladresse einer Sendung in anonymer Form, das heißt wir übermitteln Straßenname, Postleitzahl, Ort und Land. Absender- und Empfängernamen, sowie die Hausnummern werden nicht übermittelt. Google gibt an, keine Daten von API Abfragen zu speichern.
  • Wir nutzen Stripe Payments Europe Ltd. als Anbieter einer Zahlungsdienstleistungsplattform, um Zahlungen im Zusammenhang mit Ihrer Nutzung des Zaikio Accounts zu erleichtern. Wir teilen jedoch keine personenbezogenen Daten mit Stripe; eine etwaige Übermittlung personenbezogener Daten erfolgt durch Sie selbst im Zusammenhang mit über unser Formular vorgenommenen Zahlungen.

Die externen Dienstleister unterliegen vertraglichen Pflichten zur Umsetzung geeigneter technischer und organisatorischer Maßnahmen zum Schutz der personenbezogenen Daten und zur ausschließlich weisungsgemäßen Verarbeitung der personenbezogenen Daten.

3.2. Andere Empfänger

Einige der Kollegen, die den Zaikio Account verwalten, sind ggf. Mitarbeiter anderer Konzerngesellschaften. Im Rahmen der Verwaltung des Zaikio Accounts haben unsere Kollegen ggf. Zugriff auf und/oder verarbeiten ggf. Ihre personenbezogenen Daten. Die entsprechende Übermittlung personenbezogener Daten beruht auf unseren berechtigten Interessen. Unsere berechtigten Interessen bestehen in der Übermittlung personenbezogener Daten innerhalb der Unternehmensgruppe für interne Verwaltungs- und Supportzwecke. Der Zugriff ist auf Kollegen beschränkt, welche die personenbezogenen Daten zur Erfüllung ihrer Aufgaben kennen müssen. Weitere Informationen zu der getroffenen Abwägung werden auf Anfrage zur Verfügung gestellt. Ggf. geben wir Ihre personenbezogenen Daten auch an Vollzugsbehörden, Regierungsbehörden, Rechtsberater und externe Berater gemäß anwendbarem Datenschutzrecht weiter. Die Rechtsgrundlage für eine solche Verarbeitung besteht in der Erfüllung einer rechtlichen Verpflichtung, der wir unterliegen oder berechtigten Interessen, wie dem berechtigten Interesse an der Ausübung oder Verteidigung von Rechtsansprüchen. Weitere Informationen zu der getroffenen Abwägung werden auf Anfrage zur Verfügung gestellt.

3.3. Internationale Datentransfers

Die personenbezogenen Daten, die wir über Sie erheben oder erhalten, können an Empfänger innerhalb oder außerhalb des Europäischen Wirtschaftsraums („EWR“), die kein angemessenes Datenschutzniveau gewährleisten, übermittelt und von diesen verarbeitet werden. Die Länder, die anerkanntermaßen ein angemessenes Datenschutzniveau aus der Sicht des EU-Rechts (Art. 45 DSGVO) bieten, sind Andorra, Argentinien, Kanada, die Färöer-Inseln, Guernsey, der Staat Israel, die Isle of Man, Japan, Jersey, Neuseeland, die Schweiz und Uruguay. Empfänger in den USA können teilweise unter dem EU-US-Privacy Shield zertifiziert sein und damit aus Sicht des EU-Rechts ein angemessenes Datenschutzniveau gewährleisten (Art. 45 DSGVO). Soweit Ihre personenbezogenen Daten in Länder übermittelt werden, die aus der Sicht des EU-Rechts kein angemessenes Datenschutzniveau gewährleisten, werden wir die jeweilige Übermittlung auf geeignete Garantien, wie z.B. von der Europäischen Kommission verabschiedete Standardvertragsklauseln, stützen (Art. 46 Abs. 2 DSGVO), soweit dies erforderlich ist. Sie können eine Kopie dieser angemessenen Garantien anfordern, indem Sie uns wie in Abschnitt 6 beschrieben kontaktieren. Der Zugang ist auf Empfänger beschränkt, die diese zur Erfüllung ihrer Aufgaben kennen müssen. Salesforce Inc., Amazon Inc. Amazon Web Services, Inc., Wildbit LLC, The Rocket Science Group LLC, Intercom Inc., SolarWinds Worldwide, LLC, und Google, Inc. sind Privacy Shield zertifiziert.

4. Welche Rechte haben Sie und wie können Sie diese ausüben?

Wenn Sie in die Verarbeitung Ihrer personenbezogenen Daten eingewilligt haben, können Sie Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung. Nach den anwendbaren Datenschutzgesetzen können Ihnen gegebenenfalls folgende Rechte zustehen: Recht auf Auskunft über die personenbezogenen Daten, Recht auf Berichtigung der personenbezogenen Daten, Recht auf Löschung der personenbezogenen Daten, Recht auf Einschränkung der Verarbeitung der personenbezogenen Daten, Recht auf Datenübertragbarkeit, Recht der Verarbeitung der personenbezogenen Daten zu widersprechen. Bitte beachten Sie, dass die vorgenannten Rechte durch nationales Recht eingeschränkt sein können. Weitere Informationen zu Ihren Rechten entnehmen Sie bitte dem Anhang Ihre Rechte. Sie haben zudem das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde zu erheben. Um Ihre Rechte geltend zu machen, können Sie sich wie in Ziffer 6 beschrieben an uns wenden.

5. Wie lange speichern wir Ihre personenbezogenen Daten?

Ihre personenbezogenen Daten werden solange gespeichert, wie dies zur Erbringung der gewünschten Leistungen erforderlich ist. Wenn wir Ihre personenbezogenen Daten nicht mehr zur Einhaltung vertraglicher oder gesetzlicher Verpflichtungen benötigen, werden wir sie von unseren Systemen und Aufzeichnungen löschen und/oder Maßnahmen ergreifen, um diese ordnungsgemäß zu anonymisieren, so dass eine Identifizierung nicht möglich ist, es sei denn, wir müssen Informationen, einschließlich Ihrer personenbezogenen Daten aufbewahren, um gesetzliche oder behördliche Verpflichtungen, denen wir unterliegen, einzuhalten, z.B. gesetzliche Aufbewahrungsfristen, die sich aus dem Handelsgesetzbuch oder der Abgabenordnung ergeben können und grundsätzlich 6 bis 10 Jahre dauern, oder wenn wir während der gesetzlichen Verjährungsfristen, die regelmäßig 3 Jahre betragen, aber bis zu 30 Jahre betragen können, Beweise sichern müssen. Wenn Sie Ihren Zaikio Account in einem unserer Produkte schließen, löschen wir binnen 7 Tagen alle zugehörigen Daten zu diesem Account (es sei denn, eine längere Aufbewahrungsfirst findet Anwendung, siehe oben). Da wir Datenbank Back-ups bis zu 30 Tage vorhalten, findet eine endgültige und unwiderrufliche Löschung aller Daten, die wir kontrollieren können, nach 37 Tagen statt. Sobald ein Zaikio Account innerhalb unserer Produkte gelöscht wird, sind die entsprechenden personenbezogenen Daten nicht mehr verfügbar. Sowohl in Web Interfaces als auch über unsere APIs wird von „gelöschten Benutzern“ gesprochen.

6. Kontakt

Wenn Sie Bedenken oder Fragen zu dieser Datenschutzerklärung haben, kontaktieren Sie uns bitte wie folgt:
Zaikio GmbH
Adresse: Emmerich-Josef-Str. 1A, 55116 Mainz, Deutschland
Telefon: +49 (0) 6131 617 1000
E-Mail: info@zaikio.com

Die Kontaktdaten unseres Datenschutzbeauftragten sind:
Christian Weyer
Adresse: Emmerich Josef Straße 1a, 55116 Mainz, Deutschland
E-Mail: privacy@zaikio.com 

Anhang
Ihre Rechte

1. Recht auf Auskunft

Sie haben ggf. das Recht, von uns eine Bestätigung darüber zu verlangen, ob Sie betreffende personenbezogene Daten verarbeitet werden und, falls dies der Fall ist, ein Recht auf Auskunft über diese personenbezogenen Daten. Das Auskunftsrecht umfasst, unter anderem, die Verarbeitungszwecke, die Kategorien personenbezogener Daten, die verarbeitet werden und die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt werden. Dieses Recht besteht allerdings nicht uneingeschränkt, denn die Rechte anderer Personen können Ihr Recht auf Auskunft beschränken. Das Recht auf Auskunft wird durch § 34 BDSG eingeschränkt. Das Recht auf Auskunft besteht z.B. nicht, wenn die Daten (a) nur deshalb gespeichert sind, weil sie aufgrund gesetzlicher oder satzungsmäßiger Aufbewahrungsvorschriften nicht gelöscht werden dürfen, oder (b) ausschließlich Zwecken der Datensicherung oder der Datenschutzkontrolle dienen, und die Auskunftserteilung einen unverhältnismäßigen Aufwand erfordern würde sowie wenn eine Verarbeitung zu anderen Zwecken durch geeignete technische und organisatorische Maßnahmen ausgeschlossen ist. Sie haben ggf. das Recht, eine Kopie der personenbezogenen Daten, die von uns verarbeitet werden, zu erhalten. Für weitere von Ihnen verlangte Kopien, erheben wir ggf. eine auf Grundlage der Verwaltungskosten berechnete angemessene Gebühr.

2. Recht auf Berichtigung

Sie haben ggf. das Recht, die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie das Recht, die Vervollständigung unvollständiger personenbezogener Daten, auch mittels einer ergänzenden Erklärung, zu verlangen.

3. Recht auf Löschung („Recht auf Vergessenwerden“)

Unter bestimmten Voraussetzungen haben Sie das Recht, von uns zu verlangen, dass Sie betreffende personenbezogene Daten gelöscht werden und wir können verpflichtet sein, diese personenbezogenen Daten zu löschen. Das Recht auf Löschung besteht z.B. nach § 35 BDSG nicht, wenn eine Löschung im Falle nicht automatisierter Datenverarbeitung wegen der besonderen Art der Speicherung nicht oder nur mit unverhältnismäßig hohem Aufwand möglich und Ihr Interesse an der Löschung als gering anzusehen ist. In diesem Fall tritt an die Stelle einer Löschung die Einschränkung der Verarbeitung.

4. Recht auf Einschränkung der Verarbeitung

Unter bestimmten Voraussetzungen haben Sie das Recht, von uns die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen. In diesem Fall werden die entsprechenden Daten markiert und von uns nur für bestimmte Zwecke verarbeitet.

5. Recht auf Datenübertragbarkeit

Unter bestimmten Voraussetzungen haben Sie das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten und Sie haben das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln.

6. Widerspruchsrecht

Unter bestimmten Voraussetzungen haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen unsere Verarbeitung Ihrer personenbezogenen Daten zu widersprechen und wir können verpflichtet sein, Ihre personenbezogenen Daten nicht länger zu verarbeiten. Wenn personenbezogene Daten verarbeitet werden, um Direktwerbung zu betreiben, haben Sie zusätzlich das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. Dies gilt auch für die Profilbildung, soweit diese im Zusammenhang mit Direktwerbung steht. In diesem Fall werden die personenbezogenen Daten von uns nicht mehr für diese Zwecke verarbeitet.