Datenschutzerklärung für den Messenger-Dienst stashcat

Einleitung

Der stashcat Messenger ist ein Kommunikationsdienst, welcher von der stashcat GmbH mit Sitz in Hannover angeboten wird. Der Dienst richtet sich an Unternehmen und Behörden, die den Messenger organisationsintern und abteilungsübergreifend einsetzen können. Alle einschlägigen datenschutzrechtlichen Bestimmungen, insbesondere die Regelungen des Telemediengesetzes (TMG) und der Datenschutzgrundverordnung (EU-DSGVO) werden beachtet. Nachstehend möchten wir Sie über die Art, den Umfang und Zweck der Verarbeitung personenbezogener Daten innerhalb von stashcat informieren. Im Hinblick auf die verwendeten Begrifflichkeiten wie z.B. „Verarbeitung“ oder „Verantwortlicher“ verweisen wir auf die Definitionen im Art. 4 der Datenschutzgrundverordnung (DSGVO).

1. Wer ist verantwortlich für die Datenverarbeitung beim stashcat Messenger?

Für den Datenschutz verantwortlich ist der Anbieter dieses Angebots (nachfolgend „Anbieter“):


stashcat GmbH 
Hamburger Allee 2-4 
30161 Hannover 
Deutschland 
Tel.: +49 (511) 898 40100
E-Mail: hello@stashcat.com

 

Bei datenschutzrechtlichen Anliegen wenden Sie sich bitte vorzugsweise direkt an die stashcat GmbH unter Nennung hinreichender Angaben zur Identifizierung Ihrer Person (z.B. Name, E-Mail-Adresse, Name Ihrer Institution). 

 

Sie erreichen den Anbieter in datenschutzrechtlichen Fragen unter dieser E-Mail: datenschutz@stashcat.com 
Die stashcat GmbH wird zwecks optimaler Umsetzung der gesetzlichen Datenschutz-Vorgaben von einem externen Datenschutzbeauftragten unterstützt und beraten. Dieser ist:


Sebastian von der Au
EDV-Unternehmensberatung Floß GmbH
Hopfengarten 10
33775 Versmold
Telefon +49 (5423) 96490-0
Telefax +49 (5423) 96490-60
E-Mail: info@floss-consult.de

 

Die stashcat GmbH bedient sich für die Bereitstellung des stashcat Messengers der Dienste von Auftragsverarbeitern. Eine Auflistung der Auftragsverarbeiter und den Verarbeitungstätigkeiten finden Sie unter Punkt 6.

2. Wie findet Datenverarbeitung im Rahmen des stashcat Messengers statt?

Der Anbieter stellt eine über das Internet (Web-Applikation/Desktop-Applikation/Mobile Applikationen für iOS und Android) erreichbare Software (nachfolgend „stashcat“) bereit, welche direkte Messenger-Kommunikation zwischen Nutzern ermöglicht. Im Folgenden wird erläutert, wer von dieser Datenverarbeitung betroffen ist und auf welche Weise, in welchem Umfang sowie zu welchen Zwecken diese Datenverarbeitung stattfindet.
Von der Datenverarbeitung betroffene Personen sind die Nutzer der stashcat-Kommunikationsplattform (nachfolgend „Nutzer“). Diese sind üblicherweise:

 

  • Verwaltungsmitglieder des Unternehmens/der Behörde, die den Messenger einsetzt 
  • Mitarbeiter des Unternehmens/der Behörde, die den Messenger einsetzt
  • Gäste auf Seiten des Auftraggebers, die einen stashcat-Zugang bekommen

 

Der Messenger stashcat ist als Web-Oberfläche im Browser, als Desktop-Applikation für Windows oder Mac wie auch als mobile App für iOS und Android verfügbar. Mit dem integrierten Echtzeit-Messenger ist die direkte Kommunikation über die Plattform möglich. Es gibt eine integrierte Dateiablage, die von jedem Benutzer als persönliche Cloud verwendet werden kann. Für jeden Benutzer wird ein eigener Account mit entsprechender Berechtigungsstufe erstellt, der zur Nutzung der Plattform berechtigt. Auch Sprach- und Videotelefonie ist möglich. Eine Aufzeichnung der Sprach- und Videotelefonate findet nicht statt.

 

Folgende Arten personenbezogener Daten werden verarbeitet:

 

  • Name, Vorname 
  • E-Mail-Adresse  
  • Benutzerrolle (Administrator, Nutzer, Gast) 
  • Foto (optional) 
  • Videobild und Ton (optional)
  • Standortdaten (optional)
  • Kommunikationsdaten: Sobald ein Benutzer auf der Plattform interagiert oder kommuniziert fallen Kommunikationsdaten an, die zur Nutzung der Plattform benötigt werden. Dies umfasst Informationen zur Aktivität der Nutzer auf der Plattform (bspw. Informationen zur Mitgliedschaft in einem Channel), die im System gespeichert werden. Die Speicherung dieser Daten ist notwendig, da die Nutzung andernfalls nicht möglich wäre. Die Kommunikationsdaten umfassen auch das Ein- und Austrittsdatum. 
  • Besuchte Channels: Hier werden zwecks Kommunikationsaustausch und Abgabe von Protokollen in elektronischer Form besuchte Channels von Kursteilnehmern gebildet, über die die Informationen getauscht werden. Zudem können in solchen Channels an einzelne Personen Aufgaben oder Informationen verteilt werden.  
  • Erforderliche Metadaten (meist Geräteinformationen) für die Nutzung von stashcat: 
    • Webserver Logfiles
      • Zeitpunkt
      • IP-Adresse
      • Request-URI
      • HTTP-Response-Code
      • HTTP-Response-Size in Byte
      • Useragent-String
      • Push Tokens (Apple/Google)
    • E-Mail-Logfiles
      • Zeitpunkt
      • Typ der versendeten E-Mail
      • Empfänger
      • Absender

 

Die stashcat GmbH nutzt keine rein automatisierten Verarbeitungsprozesse zur Herbeiführung von Entscheidungen – einschließlich Profiling – hinsichtlich der Nutzer des stashcat Messenger-Dienstes

3. Zwecke der Datenverarbeitung

Wie bereits oben beschrieben, wird der Messenger stashcat vor allem in Unternehmen und Behörden verwendet. Die Bereitstellung dieser Kommunikationsplattform dient der Ermöglichung von direkter und sicherer Kommunikation zwischen Nutzern und ihren Organisationen innerhalb geschlossener Kommunikationsbereiche. Zudem lässt sich die komplette Unternehmens- bzw. Behördenstruktur anhand von Channels abbilden. Ziele sind die Beschleunigung von Kommunikationswegen, Verkürzung der Dienstwege, abteilungsübergreifende Zusammenarbeit und die vereinfachte Dateiverwaltung. 

 

Metadaten der Nutzung werden verwendet, um Ausfallsicherheit sowie sonstig technisch reibungslose Dienst-Bereitstellung zu ermöglichen. Ferner nutzen wir von Nutzern erhobene Daten, um diese über technische Updates und Sicherheitswarnungen zu informieren sowie Support- und sonstige Nutzernachrichten an uns zu verwalten und zu bearbeiten. Zudem dienen Informationen bei gegebenem Anlass der Aufdeckung, Untersuchung und Verhinderung von betrügerischen und anderen illegalen Aktivitäten. Dies schließt Verstöße gegen unsere Nutzungsbedingungen sowie den Schutz der Rechte und des Eigentums der stashcat GmbH und anderen mit ein. 

 

Darüber hinaus informieren wir die Nutzer über weitere Zwecke der Verarbeitung bei Erhebung der jeweiligen Daten.

4. Rechtsgrundlage der Datenverarbeitung

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.
Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

 

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.
Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

 

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

5. Sicherheitsmaßnahmen

Die stashcat GmbH wie auch ihre Auftragsverarbeiter implementieren und unterhalten entsprechend der gesetzlichen Vorgaben eine Reihe von technischen und organisatorischen Maßnahmen zum Schutz der personenbezogenen Daten der Nutzer des Messengers. Diese Maßnahmen werden im Sinne von Art. 32 DSGVO unter Berücksichtigung von dem Stand der Technik, den Kosten ihrer Implementierung und der Art, des Umfangs, der Umstände und der Zwecke der Verarbeitung sowie der unterschiedlichen Eintrittswahrscheinlichkeit sowie Schwere des Risikos für die Rechte und Freiheiten natürlicher Personen getroffen. Diese Maßnahmen sollen ein dem Risiko angemessenes Schutzniveau für die personenbezogenen Daten der Messenger-Nutzer gewährleisten.
Der stashcat Messengerdienst wird in einem gesicherten Hochsicherheitsrechenzentrum in Deutschland zur Verfügung gestellt. Die Kommunikationsdaten der Nutzer bleiben üblicherweise im Rechtsraum der EU-Datenschutzgrundverordnung (DSGVO). Lediglich im Hinblick auf die Nutzung des Übersetzungsdienstes im Messenger kann nicht völlig ausgeschlossen werden, dass eine Datenübermittlung in die USA über unseren Dienstleister IBM (im Rahmen des bei stashcat implementierten IBM Watson Language Translator) erfolgt. Genauere Informationen hierzu finden Sie unter Punkt 6 und 7. Das Rechenzentrum verfügt über höchste Standards zur Ausfall- und Zugangssicherung.

6. Datenübermittlung an Dritte

Die stashcat GmbH bedient sich für die Bereitstellung von stashcat der Dienste von Auftragsverarbeitern. Diese sind vertraglich gebunden und unterliegen den Weisungen von stashcat. Die Auftragsverarbeiter der stashcat GmbH für die Bereitstellung des Messenger-Dienstes sind:

 

  • MIVITEC GmbH, Wamslerstr. 4, 81829 München 
    • Die Mivitec GmbH ist für die Bereitstellung (Hosting) der stashcat Plattform im Hochsicherheitszentrum zuständig.
  • 1&1 IONOS SE, Elgendorfer Str. 57, 56410 Montabaur 
    • Die 1&1 IONOS SE übernimmt die Verteilung der Updates für den Desktopclient und das Hosting von Videokonferenzen
  • heinekingmedia GmbH, Hamburger Allee 2-4, 30161 Hannover 
    • die heinekingmedia GmbH übernimmt die Beantwortung von Supportanfragen im Kundenkontakt
  • IBM Deutschland GmbH, IBM-Allee 1, 71139 Ehningen 
    • Die IBM Deutschland GmbH stellt den Übersetzungsdienst IBM Watson Language Translator bereit, welcher in stashcat implementiert ist, damit auch Kunden mit unterschiedlichem Sprachenhintergrund miteinander kommunizieren können. Soweit stashcat Kunden diesen Übersetzungsdienst nicht nutzen möchten, können sie diesen selbst deaktivieren.
  • Pipedrive OÜ, Mustamäe tee 3a, 10615 Tallinn, Estland 
    • Die Pipedrive OÜ stellt der stashcat GmbH ein CRM für die Kundenbetreuung zur Verfügung.

 

Weiterhin finden Datenübermittlungen an Dritte nur statt, insoweit die stashcat GmbH zur Einhaltung von Gesetzen, rechtlichen Verfahren oder einer berechtigten Anfrage von Behörden oder Dritten dazu verpflichtet ist.
Andere Datenübermittlungen an Dritte finden nicht statt.

7. Grenzüberschreitende Datenübermittlungen außerhalb der EU

Alle in stashcat erfassten Daten werden auf den sich in Deutschland befindlichen Hosting-Servern zur Sicherstellung der problemlosen Nutzung der Plattform verarbeitet. In der Regel gibt es keine Datenübermittlung in Fremdländer, weder an Firmen noch an Privatpersonen. Lediglich hinsichtlich des Übersetzungsdienstes von IBM sowie bei Pipedrive CRM (Kundenverwaltung) kann nicht vollständig ausgeschlossen werden, dass eine Übermittlung von personenbezogenen Daten in Drittländer (vornehmlich USA) stattfindet. Für den Fall der Datenübermittlung in die USA stützt sich IBM Deutschland GmbH im Hinblick auf die Konzernmutter und Unterauftragsverarbeiter auf die EU-Standardvertragsklauseln ab. Darüber hinaus werden ergänzende Garantien technischer, organisatorischer und vertraglicher Natur wie Verschlüsselung, Zugriffskontrollen und Zusicherungen der Benachrichtigung des Verantwortlichen im Fall der Anfrage einer Ermittlungsbehörde ebenfalls implementiert. Dies ist im Dezember 2020 Update des Appendix on Additional Safeguards to EU Standard Contractual Clauses (EU SCCs) niedergelegt: www.ibm.com/support/customer/csol/terms/. Bei Pipedrive OÜ wird ebenfalls auf EU-Standardvertragsklauseln im Hinblick auf eventuellen Datenaustausch mit der Konzernmutter bzw. mit Unterauftragsverarbeitern abgestellt. Weitere ergänzende Garantien werden derzeit auf ihre Implementierbarkeit hin geprüft. Aus diesem Grund wird der Einsatz des IBM Watson Language Translator sowie des Pipedrive CM nach erfolgter Risikoabwägung durch die stashcat GmbH für vorläufig einsetzbar erachtet, wobei die Rechtmäßigkeitsaspekte einer wiederholten Überprüfung unterzogen werden.

8. Dauer der Speicherung und Löschung von Daten

Die von uns verarbeiteten Daten werden nach Maßgabe der Art. 17 und 18 DSGVO gelöscht oder in ihrer Verarbeitung eingeschränkt. Sofern nicht im Rahmen dieser Datenschutzerklärung ausdrücklich angegeben, werden die bei uns gespeicherten Daten gelöscht, sobald sie für ihre Zweckbestimmung nicht mehr erforderlich sind und der Löschung keine gesetzlichen Aufbewahrungspflichten entgegenstehen. 

 

Verlässt ein Nutzer die Organisation und löscht dieser seinen stashcat-Account, werden in diesem Zuge gleichzeitig alle personenbezogenen Daten gelöscht. Grundsätzlich werden personenbezogene Daten auf Anfrage / Weisung des Nutzers / der Organisation / des Administrators entsprechend gelöscht. Die Benutzer selber haben die Möglichkeit, ihre hochgeladenen Dateien in der persönlichen Dateiablage selbstständig zu löschen. 

 

Eine Anonymisierung des Accounts kann von den Nutzern selber nicht vorgenommen werden, da die Zuordnung der Nutzer auf der Plattform sonst nicht möglich wäre. Sofern die Daten nicht gelöscht werden, weil sie für andere und gesetzlich zulässige Zwecke erforderlich sind, wird deren Verarbeitung eingeschränkt. D.h. die Daten werden gesperrt und nicht für andere Zwecke verarbeitet. Das gilt z.B. für Daten, die aus handels- oder steuerrechtlichen Gründen aufbewahrt werden müssen.

9. Änderungen und Aktualisierungen in dieser Datenschutzerklärung

Diese Datenschutzerklärung gilt vorbehaltlich zukünftiger inhaltlicher Änderungen und Aktualisierungen. Dies kann geschehen, weil sich entweder die rechtlichen Vorgaben oder die Art und Weise, wie wir Daten von unseren Nutzern verarbeiten, ändert. Soweit für solche Änderungen eine Einwilligung der Nutzer erforderlich sein wird, werden wir diese unmittelbar und individuell kontaktieren.

10. Rechte der Betroffenen

Nutzer des stashcat Messengerdienstes haben als Betroffene der Verarbeitung ihrer personenbezogenen Daten Rechte, die ihnen insbesondere gemäß den Art. 15-21 DSGVO zustehen. Diese können sie als Einzelnutzer gegenüber der stashcat GmbH geltend machen. Etabliert jedoch eine andere Organisation (Behörde, Unternehmen, Schule, o.ä.) den stashcat Messenger organisationsintern als Kommunikationsplattform, ist die stashcat GmbH üblicherweise Auftragsverarbeiter dieser Organisation. In diesem Fällen können sie diese Rechte direkt bei dieser Organisation geltend machen.
Ihre Betroffenenrechte als Nutzer des Messengers sind:

 

Recht auf Auskunft

Sie haben das Recht, entsprechend den gesetzlichen Vorgaben unentgeltlich eine Bestätigung darüber zu verlangen, ob und welche Sie betreffende personenbezogene Daten verarbeitet werden. Ferner können Sie eine Kopie der Daten entsprechend den gesetzlichen Vorgaben verlangen.

 

Recht auf Berichtigung Ihrer Daten

Sie haben das Recht, entsprechend den gesetzlichen Vorgaben die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Ebenso haben sie das Recht, entsprechend den gesetzlichen Vorgaben die Vervollständigung unvollständiger Daten zu verlangen.

 

Recht auf Löschung und Einschränkung der Verarbeitung

Sie haben das Recht, die unverzügliche Löschung oder zumindest die Sperrung ihrer personenbezogenen Daten entsprechend den gesetzlichen Vorgaben zu verlangen.

 

Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen. Daten entsprechend den gesetzlichen Vorgaben in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung dieser Daten an einen anderen Verantwortlichen zu verlangen.

 

Recht, Ihre gegebene Einwilligung zu widerrufen

Soweit die Verarbeitung ihrer personenbezogenen Daten auf Ihrer Einwilligung basiert, haben sie jederzeit das Recht, diese zu widerrufen. Beachten Sie hierbei, dass der Widerruf Ihrer Einwilligung je nach Bezug eine vollständige Löschung Ihres Nutzer-Accounts bedeuten kann.

 

Recht auf Widerspruch

Sofern eine Datenverarbeitung auf dem berechtigten Interesse nach Art. 6 Abs. 1 lit. f) DSGVO basiert, haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten Widerspruch einzulegen. Im Falle eines Widerspruchs wird der Verantwortliche prüfen, ob schutzwürdige Interessen für die Verarbeitung gegenüber Ihren Interessen, Rechten und Freiheiten überwiegen, z.B. bei der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

 

Soweit Sie ihre Betroffenenrechte direkt gegenüber der stashcat GmbH wahrnehmen möchten oder andere datenschutzbezogene Anliegen im Kontext des stashcat Messengers haben erreichen Sie uns unter der E-Mail datenschutz@stashcat.com. Anderenfalls wenden Sie sich direkt an ihre Organisation (Behörde, Unternehmen, Schule o.ä.), sofern diese unseren Messenger als Kommunikationsplattform etabliert hat. Die stashcat GmbH wird dann die betreffende Organisation nach den gesetzlichen Vorgaben bei der Umsetzung der Betroffenenrechte unterstützen.

11. Beschwerderecht bei der zuständigen Aufsichtsbehörde

Im Falle datenschutzrechtlicher Verstöße steht dem Betroffenen ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde zu. Zuständige Aufsichtsbehörde ist in der Regel jene in dem Bundesland, in dem das datenverarbeitende Unternehmen seinen Sitz hat. Die für unser Unternehmen zuständige Aufsichtsbehörde in datenschutzrechtlichen Fragen ist:


Die Landesdatenschutzbeauftragte des Bundeslandes Niedersachsen
Prinzenstraße 5 
30159 Hannover 
Telefon: 0511 120-4500


E-Mail: poststelle@lfd.niedersachsen.de
Webseite: lfd.niedersachsen.de/startseite/

Bookmarks