Datenschutzerkl√§rung f√ľr den Messenger-Dienst stashcat

Einleitung
Der stashcat Messenger ist ein Kommunikationsdienst, welcher von der stashcat GmbH mit Sitz in Hannover angeboten wird. Der Dienst richtet sich an Unternehmen und Beh√∂rden, die den Messenger organisationsintern und abteilungs√ľbergreifend einsetzen k√∂nnen. Alle einschl√§gigen datenschutzrechtlichen Bestimmungen, insbesondere die Regelungen des Telemediengesetzes (TMG) und der Datenschutzgrundverordnung (EU-DSGVO) werden beachtet. Nachstehend m√∂chten wir Sie √ľber die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb von stashcat informieren. Im Hinblick auf die verwendeten Begrifflichkeiten wie z.B. "Verarbeitung" oder "Verantwortlicher" verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).

Inhalts√ľbersicht:

  1. WER IST VERANTWORTLICH F√úR DIE DATENVERARBEITUNG BEIM STASHCAT MESSENGER?
  2. WIE FINDET DATENVERARBEITUNG IM RAHMEN DES STASHCAT MESSENGERS STATT?
  3. ZWECKE DER DATENVERARBEITUNG
  4. RECHTSGRUNDLAGE DER DATENVERARBEITUNG
  5. SICHERHEITSMAßNAHMEN
  6. DATEN√úBERMITTLUNG AN DRITTE
  7. GRENZÜBERSCHREITENDE DATENÜBERMITTLUNGEN AUßERHALB DER EU
  8. DAUER DER SPEICHERUNG UND L√ĖSCHUNG VON DATEN
  9. √ĄNDERUNGEN UND AKTUALISIERUNGEN IN DIESER DATENSCHUTZERKL√ĄRUNG
  10. RECHTE DER BETROFFENEN
  11. BESCHWERDERECHT BEI DER ZUST√ĄNDIGEN AUFSICHTSBEH√ĖRDE

 

1. Wer ist verantwortlich f√ľr die Datenverarbeitung beim stashcat Messenger?

F√ľr den Datenschutz verantwortlich ist der Anbieter dieses Angebots (nachfolgend ‚ÄěAnbieter‚Äú):
stashcat GmbH 
Hamburger Allee 2-4 
30161 Hannover 
Deutschland 
Tel.: +49 (511) 898 40100
E-Mail: hello@stashcat.com

Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte vorzugsweise direkt an die stashcat GmbH unter Nennung hinreichender Angaben zur Identifizierung Ihrer Person (z.B. Name, E-Mail-Adresse, Name Ihrer Institution). 

Sie erreichen den Anbieter in datenschutzrechtlichen Fragen unter dieser E-Mail: datenschutz@stashcat.com 
Die stashcat GmbH wird zwecks optimaler Umsetzung der gesetzlichen Datenschutz-Vorgaben von einem externen Datenschutzbeauftragten unterst√ľtzt und beraten. Dieser ist:
Sebastian von der Au
EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold
Telefon +49 (5423) 96490-0
Telefax +49 (5423) 96490-60
E-Mail: info@floss-consult.de

Die stashcat GmbH bedient sich f√ľr die Bereitstellung des stashcat Messengers der Dienste von Auftragsverarbeitern. Eine Auflistung der Auftragsverarbeiter und den Verarbeitungst√§tigkeiten finden Sie unter Punkt 6.

 

2. Wie findet Datenverarbeitung im Rahmen des stashcat Messengers statt?

Der Anbieter stellt eine √ľber das Internet (Web-Applikation/Desktop-Applikation/Mobile Applikationen f√ľr iOS und Android) erreichbare Software (nachfolgend "stashcat") bereit, welche direkte Messenger-Kommunikation zwischen Nutzern erm√∂glicht. Im Folgenden wird erl√§utert, wer von dieser Datenverarbeitung betroffen ist und auf welche Weise, in welchem Umfang sowie zu welchen Zwecken diese Datenverarbeitung stattfindet.
Von der Datenverarbeitung betroffene Personen sind die Nutzer der stashcat-Kommunikationsplattform (nachfolgend "Nutzer"). Diese sind √ľblicherweise:

  • Verwaltungsmitglieder des Unternehmens/der Beh√∂rde, die den Messenger einsetzt 
  • Mitarbeiter des Unternehmens/der Beh√∂rde, die den Messenger einsetzt
  • G√§ste auf Seiten des Auftraggebers, die einen stashcat-Zugang bekommen

Der Messenger stashcat ist als Web-Oberfl√§che im Browser, als Desktop-Applikation f√ľr Windows oder Mac wie auch als mobile App f√ľr iOS und Android verf√ľgbar. Mit dem integrierten Echtzeit-Messenger ist die direkte Kommunikation √ľber die Plattform m√∂glich. Es gibt eine integrierte Dateiablage, die von jedem Benutzer als pers√∂nliche Cloud verwendet werden kann. F√ľr jeden Benutzer wird ein eigener Account mit entsprechender Berechtigungsstufe erstellt, der zur Nutzung der Plattform berechtigt. Auch Sprach- und Videotelefonie ist m√∂glich. Eine Aufzeichnung der Sprach- und Videotelefonate findet nicht statt.
Folgende Arten personenbezogener Daten werden verarbeitet:

  • Name, Vorname 
  • E-Mail-Adresse  
  • Benutzerrolle (Administrator, Nutzer, Gast) 
  • Foto (optional) 
  • Videobild und Ton (optional)
  • Standortdaten (optional)
  • Kommunikationsdaten: Sobald ein Benutzer auf der Plattform interagiert oder kommuniziert fallen Kommunikationsdaten an, die zur Nutzung der Plattform ben√∂tigt werden. Dies umfasst Informationen zur Aktivit√§t der Nutzer auf der Plattform (bspw. Informationen zur Mitgliedschaft in einem Channel), die im System gespeichert werden. Die Speicherung dieser Daten ist notwendig, da die Nutzung andernfalls nicht m√∂glich w√§re. Die Kommunikationsdaten umfassen auch das Ein- und Austrittsdatum. 
  • Besuchte Channels: Hier werden zwecks Kommunikationsaustausch und Abgabe von Protokollen in elektronischer Form besuchte Channels von Kursteilnehmern gebildet, √ľber die die Informationen getauscht werden. Zudem k√∂nnen in solchen Channels an einzelne Personen Aufgaben oder Informationen verteilt werden.  
  • Erforderliche Metadaten (meist Ger√§teinformationen) f√ľr die Nutzung von stashcat: 
    • Webserver Logfiles
      • Zeitpunkt
      • IP-Adresse
      • Request-URI
      • HTTP-Response-Code
      • HTTP-Response-Size in Byte
      • Useragent-String
      • Push Tokens (Apple/Google)
    • E-Mail-Logfiles
      • Zeitpunkt
      • Typ der versendeten E-Mail
      • Empf√§nger
      • Absender

Die stashcat GmbH nutzt keine rein automatisierten Verarbeitungsprozesse zur Herbeif√ľhrung von Entscheidungen ‚Äď einschlie√ülich Profiling ‚Äď hinsichtlich der Nutzer des stashcat Messenger-Dienstes

 

3. Zwecke der Datenverarbeitung

Wie bereits oben beschrieben, wird der Messenger stashcat vor allem in Unternehmen und Beh√∂rden verwendet. Die Bereitstellung dieser Kommunikationsplattform dient der Erm√∂glichung von direkter und sicherer Kommunikation zwischen Nutzern und ihren Organisationen innerhalb geschlossener Kommunikationsbereiche. Zudem l√§sst sich die komplette Unternehmens- bzw. Beh√∂rdenstruktur anhand von Channels abbilden. Ziele sind die Beschleunigung von Kommunikationswegen, Verk√ľrzung der Dienstwege, abteilungs√ľbergreifende Zusammenarbeit und die vereinfachte Dateiverwaltung.  

Metadaten der Nutzung werden verwendet, um Ausfallsicherheit sowie sonstig technisch reibungslose Dienst-Bereitstellung zu erm√∂glichen. Ferner nutzen wir von Nutzern erhobene Daten, um diese √ľber technische Updates und Sicherheitswarnungen zu informieren sowie Support- und sonstige Nutzernachrichten an uns zu verwalten und zu bearbeiten. Zudem dienen Informationen bei gegebenem Anlass der Aufdeckung, Untersuchung und Verhinderung von betr√ľgerischen und anderen illegalen Aktivit√§ten. Dies schlie√üt Verst√∂√üe gegen unsere Nutzungsbedingungen sowie den Schutz der Rechte und des Eigentums der stashcat GmbH und anderen mit ein. 

Dar√ľber hinaus informieren wir die Nutzer √ľber weitere Zwecke der Verarbeitung bei Erhebung der jeweiligen Daten.

 

4. Rechtsgrundlage der Datenverarbeitung

Soweit wir f√ľr Verarbeitungsvorg√§nge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erf√ľllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch f√ľr Verarbeitungsvorg√§nge, die zur Durchf√ľhrung vorvertraglicher Ma√ünahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erf√ľllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
F√ľr den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen nat√ľrlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und √ľberwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage f√ľr die Verarbeitung.

 

5. Sicherheitsmaßnahmen

Die stashcat GmbH wie auch ihre Auftragsverarbeiter implementieren und unterhalten entsprechend der gesetzlichen Vorgaben eine Reihe von technischen und organisatorischen Ma√ünahmen zum Schutz der personenbezogenen Daten der Nutzer des Messengers. Diese Ma√ünahmen werden im Sinne von Art. 32 DSGVO unter Ber√ľcksichtigung von dem Stand der Technik, den Kosten ihrer Implementierung und der Art, des Umfangs, der Umst√§nde und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere des Risikos f√ľr die Rechte und Freiheiten nat√ľrlicher Personen getroffen. Diese Ma√ünahmen sollen ein dem Risiko angemessenes Schutzniveau f√ľr die personenbezogenen Daten der Messenger-Nutzer gew√§hrleisten.
Der stashcat Messengerdienst wird in einem gesicherten Hochsicherheitsrechenzentrum in Deutschland zur Verf√ľgung gestellt. Die Kommunikationsdaten der Nutzer bleiben √ľblicherweise im Rechtsraum der EU-Datenschutzgrundverordnung (DSGVO). Lediglich im Hinblick auf die Nutzung des √úbersetzungsdienstes im Messenger kann nicht v√∂llig ausgeschlossen werden, dass eine Daten√ľbermittlung in die USA √ľber unseren Dienstleister IBM (im Rahmen des bei stashcat implementierten IBM Watson Language Translator) erfolgt. Genauere Informationen hierzu finden Sie unter Punkt 6 und 7. Das Rechenzentrum verf√ľgt √ľber h√∂chste Standards zur Ausfall- und Zugangssicherung.

 

6.    Daten√ľbermittlung an Dritte

Die stashcat GmbH bedient sich f√ľr die Bereitstellung von stashcat der Dienste von Auftragsverarbeitern. Diese sind vertraglich gebunden und unterliegen den Weisungen von stashcat. Die Auftragsverarbeiter der stashcat GmbH f√ľr die Bereitstellung des Messenger-Dienstes sind:

  • MIVITEC GmbH, Wamslerstr. 4, 81829 M√ľnchen 
    • Die Mivitec GmbH ist f√ľr die Bereitstellung (Hosting) der stashcat Plattform im Hochsicherheitszentrum zust√§ndig.
  • 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur 
    • Die 1&1 IONOS SE √ľbernimmt die Verteilung der Updates f√ľr den Desktopclient und das Hosting von Videokonferenzen
  • heinekingmedia GmbH, Hamburger Allee 2-4, 30161 Hannover 
    • die heinekingmedia GmbH √ľbernimmt die Beantwortung von Supportanfragen im Kundenkontakt
  • IBM Deutschland GmbH, IBM-Allee 1, 71139 Ehningen 
    • Die IBM Deutschland GmbH stellt den √úbersetzungsdienst IBM Watson Language Translator bereit, welcher in stashcat implementiert ist, damit auch Kunden mit unterschiedlichem Sprachenhintergrund miteinander kommunizieren k√∂nnen. Soweit stashcat Kunden diesen √úbersetzungsdienst nicht nutzen m√∂chten, k√∂nnen sie diesen selbst deaktivieren.
  • Pipedrive O√ú, Mustam√§e tee 3a, 10615 Tallinn, Estland 
    • Die Pipedrive O√ú stellt der stashcat GmbH ein CRM f√ľr die Kundenbetreuung zur Verf√ľgung.

Weiterhin finden Daten√ľbermittlungen an Dritte nur statt, insoweit die stashcat GmbH zur Einhaltung von Gesetzen, rechtlichen Verfahren oder einer berechtigten Anfrage von Beh√∂rden oder Dritten dazu verpflichtet ist.
Andere Daten√ľbermittlungen an Dritte finden nicht statt.

 

7. Grenz√ľberschreitende Daten√ľbermittlungen au√üerhalb der EU

Alle in stashcat erfassten Daten werden auf den sich in Deutschland befindlichen Hosting-Servern zur Sicherstellung der problemlosen Nutzung der Plattform verarbeitet. In der Regel gibt es keine Daten√ľbermittlung in Fremdl√§nder, weder an Firmen noch an Privatpersonen. Lediglich hinsichtlich des √úbersetzungsdienstes von IBM sowie bei Pipedrive CRM (Kundenverwaltung) kann nicht vollst√§ndig ausgeschlossen werden, dass eine √úbermittlung von personenbezogenen Daten in Drittl√§nder (vornehmlich USA) stattfindet. F√ľr den Fall der Daten√ľbermittlung in die USA st√ľtzt sich IBM Deutschland GmbH im Hinblick auf die Konzernmutter und Unterauftragsverarbeiter auf die EU-Standardvertragsklauseln ab. Dar√ľber hinaus werden erg√§nzende Garantien technischer, organisatorischer und vertraglicher Natur wie Verschl√ľsselung, Zugriffskontrollen und Zusicherungen der Benachrichtigung des Verantwortlichen im Fall der Anfrage einer Ermittlungsbeh√∂rde ebenfalls implementiert. Dies ist im Dezember 2020 Update des Appendix on Additional Safeguards to EU Standard Contractual Clauses (EU SCCs) niedergelegt: www.ibm.com/support/customer/csol/terms/. Bei Pipedrive O√ú wird ebenfalls auf EU-Standardvertragsklauseln im Hinblick auf eventuellen Datenaustausch mit der Konzernmutter bzw. mit Unterauftragsverarbeitern abgestellt. Weitere erg√§nzende Garantien werden derzeit auf ihre Implementierbarkeit hin gepr√ľft. Aus diesem Grund wird der Einsatz des IBM Watson Language Translator sowie des Pipedrive CM nach erfolgter Risikoabw√§gung durch die stashcat GmbH f√ľr vorl√§ufig einsetzbar erachtet, wobei die Rechtm√§√üigkeitsaspekte einer wiederholten √úberpr√ľfung unterzogen werden.

 

8. Dauer der Speicherung und Löschung von Daten

Die von uns verarbeiteten Daten werden nach Ma√ügabe der Art. 17 und 18 DSGVO gel√∂scht oder in ihrer Verarbeitung eingeschr√§nkt. Sofern nicht im Rahmen dieser Datenschutzerkl√§rung ausdr√ľcklich angegeben, werden die bei uns gespeicherten Daten gel√∂scht, sobald sie f√ľr ihre Zweckbestimmung nicht mehr erforderlich sind und der L√∂schung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. 
Verl√§sst ein Nutzer die Organisation und l√∂scht dieser seinen stashcat-Account, werden in diesem Zuge gleichzeitig alle personenbezogenen Daten gel√∂scht. Grunds√§tzlich werden personenbezogene Daten auf Anfrage / Weisung des Nutzers / der Organisation / des Administrators entsprechend gel√∂scht. Die Benutzer selber haben die M√∂glichkeit, ihre hochgeladenen Dateien in der pers√∂nlichen Dateiablage selbstst√§ndig zu l√∂schen. 

Eine Anonymisierung des Accounts kann von den Nutzern selber nicht vorgenommen werden, da die Zuordnung der Nutzer auf der Plattform sonst nicht m√∂glich w√§re. Sofern die Daten nicht gel√∂scht werden, weil sie f√ľr andere und gesetzlich zul√§ssige Zwecke erforderlich sind, wird deren Verarbeitung eingeschr√§nkt. D.h. die Daten werden gesperrt und nicht f√ľr andere Zwecke verarbeitet. Das gilt z.B. f√ľr Daten, die aus handels- oder steuerrechtlichen Gr√ľnden aufbewahrt werden m√ľssen.

 

9. √Ąnderungen und Aktualisierungen in dieser Datenschutzerkl√§rung

Diese Datenschutzerkl√§rung gilt vorbehaltlich zuk√ľnftiger inhaltlicher √Ąnderungen und Aktualisierungen. Dies kann geschehen, weil sich entweder die rechtlichen Vorgaben oder die Art und Weise, wie wir Daten von unseren Nutzern verarbeiten, √§ndert. Soweit f√ľr solche √Ąnderungen eine Einwilligung der Nutzer erforderlich sein wird, werden wir diese unmittelbar und individuell kontaktieren.

 

10. Rechte der Betroffenen

Nutzer des stashcat Messengerdienstes haben als Betroffene der Verarbeitung ihrer personenbezogenen Daten Rechte, die ihnen insbesondere gem√§√ü den Art. 15-21 DSGVO zustehen. Diese k√∂nnen sie als Einzelnutzer gegen√ľber der stashcat GmbH geltend machen. Etabliert jedoch eine andere Organisation (Beh√∂rde, Unternehmen, Schule, o.√§.) den stashcat Messenger organisationsintern als Kommunikationsplattform, ist die stashcat GmbH √ľblicherweise Auftragsverarbeiter dieser Organisation. In diesem F√§llen k√∂nnen sie diese Rechte direkt bei dieser Organisation geltend machen.
Ihre Betroffenenrechte als Nutzer des Messengers sind:

Recht auf Auskunft:

Sie haben das Recht, entsprechend den gesetzlichen Vorgaben unentgeltlich eine Best√§tigung dar√ľber zu verlangen, ob und welche Sie betreffende personenbezogene Daten verarbeitet werden. Ferner k√∂nnen Sie eine Kopie der Daten entsprechend den gesetzlichen Vorgaben verlangen.

Recht auf Berichtigung Ihrer Daten:

Sie haben das Recht, entsprechend den gesetzlichen Vorgaben die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ebenso haben sie das Recht, entsprechend den gesetzlichen Vorgaben die Vervollständigung unvollständiger Daten zu verlangen.

Recht auf Löschung und Einschränkung der Verarbeitung:

Sie haben das Recht, die unverz√ľgliche L√∂schung oder zumindest die Sperrung ihrer personenbezogenen Daten entsprechend den gesetzlichen Vorgaben zu verlangen. 

Recht auf Daten√ľbertragbarkeit:

Sie haben das Recht, die Sie betreffenden personenbezogenen. Daten entsprechend den gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung dieser Daten an einen anderen Verantwortlichen zu verlangen.

Recht, Ihre gegebene Einwilligung zu widerrufen:

Soweit die Verarbeitung ihrer personenbezogenen Daten auf Ihrer Einwilligung basiert, haben sie jederzeit das Recht, diese zu widerrufen. Beachten Sie hierbei, dass der Widerruf Ihrer Einwilligung je nach Bezug eine vollständige Löschung Ihres Nutzer-Accounts bedeuten kann.

Recht auf Widerspruch:

Sofern eine Datenverarbeitung auf dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO basiert, haben Sie das Recht, aus Gr√ľnden, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen. Im Falle eines Widerspruchs wird der Verantwortliche pr√ľfen, ob schutzw√ľrdige Interessen f√ľr die Verarbeitung gegen√ľber Ihren Interessen, Rechten und Freiheiten √ľberwiegen, z.B. bei der Geltendmachung, Aus√ľbung oder Verteidigung von Rechtsanspr√ľchen. 

Soweit Sie ihre Betroffenenrechte direkt gegen√ľber der stashcat GmbH wahrnehmen m√∂chten oder andere datenschutzbezogene Anliegen im Kontext des stashcat Messengers haben erreichen Sie uns unter der E-Mail datenschutz@stashcat.com. Anderenfalls wenden Sie sich direkt an ihre Organisation (Beh√∂rde, Unternehmen, Schule o.√§.), sofern diese unseren Messenger als Kommunikationsplattform etabliert hat. Die stashcat GmbH wird dann die betreffende Organisation nach den gesetzlichen Vorgaben bei der Umsetzung der Betroffenenrechte unterst√ľtzen.

 

11. Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle datenschutzrechtlicher Verst√∂√üe steht dem Betroffenen ein Beschwerderecht bei der zust√§ndigen Datenschutzaufsichtsbeh√∂rde zu. Zust√§ndige Aufsichtsbeh√∂rde ist in der Regel jene in dem Bundesland, in dem das datenverarbeitende Unternehmen seinen Sitz hat. Die f√ľr unser Unternehmen zust√§ndige Aufsichtsbeh√∂rde in datenschutzrechtlichen Fragen ist:
Die Landesdatenschutzbeauftragte des Bundeslandes Niedersachsen
Prinzenstra√üe 5 
30159 Hannover 
Telefon: 0511 120-4500
E-Mail: poststelle@lfd.niedersachsen.de
Webseite: lfd.niedersachsen.de/startseite/