Überblick
1.1. Die Open Finance Lab GmbH, Thurn-Taxis-Platz 6, 60313 Frankfurt am Main („Happy“) betreibt eine von ihr herausgegebene Software-Applikation für mobile Endgeräte (die „Happy App“), über die Happy ihren Kundinnen und Kunden (die „Nutzer“), die Arbeitnehmer sind, nach gesonderter Registrierung auf der softwarebasierten Happy Plattform Financial Wellbeing Leistungen anbietet. Die Financial Wellbeing Leistungen der Happy Plattform umfassen unter anderem die Bereitstellung von Inhalten zur Weiterbildung in finanziellen Angelegenheiten, einen Online-Shop zum Erwerb von Gutscheinen sowie die Bereitstellung von aufbereiteten Kontoinformationen.
1.2. Um die Funktionalität der Happy App anbieten zu können, arbeitet Happy mit dem Kontoinformationsdienstleister finAPI GmbH, Adams-Lehmann-Straße 44, 80797 München (der „Kontoinformationsdienstleister“) zusammen. Der Kontoinformationsdienstleister ist ein von der Bundesanstalt für Finanzdienstleistungsaufsicht (BaFin) beaufsichtigter Zahlungsdienstleister im Sinne des § 1 Abs. 1 Nr. 8 Zahlungsdiensteaufsichtsgesetz (ZAG). Der Kontoinformationsdienstleister erbringt gegenüber dem Nutzer eigene Kontoinformationsdienstleistungen auf der Grundlage eines eigenen Vertrages mit dem Nutzer. Insoweit ist der Kontoinformationsdienstleister eigenständiger Verantwortlicher für die Verarbeitung der personenbezogenen Daten des Nutzers im Sinne des Art. 4 Nr. 7 DS-GVO.
1.3. Die rechtlichen Grundlagen des Datenschutzes sowie die datenschutzrechtlichen Definitionen finden sich in der EU-Datenschutz-Grundverordnung (die „DS-GVO“) und im Bundesdatenschutzgesetz (das „BDSG“) sowie in weiteren einschlägigen Gesetzen.
1.4. Der Schutz Ihrer personenbezogenen Daten und die Wahrung Ihres Rechts auf informationelle Selbstbestimmung haben für uns die höchste Priorität. Diese Datenschutzhinweise für die Happy App beschreiben, welche personenbezogenen Daten, von wem im Zusammenhang mit der Registrierung und Nutzung der Funktionalitäten der Happy App, auf welche Art und Weise erhoben, verarbeitet und genutzt werden, um die Nutzung der Funktionalitäten der Happy App zu ermöglichen und den Plattform-Nutzungsvertrag gemäß den Happy Nutzungsbedingungen durchführen zu können.
1.5. Wir behalten uns das Recht vor, den Inhalt dieser Erklärung jederzeit zu ändern oder zu ergänzen und an geänderte Bestimmungen der Gesetzgebung und Rechtsprechung anzupassen. Es gilt jeweils die hier veröffentlichte aktuelle Version.
Verantwortlicher, Datenschutzaufsichtsbehörde und Datenschutzbeauftragter
1.6. Verantwortlicher im Sinne des Art. 4 Nr. 7 DS-GVO für die Verarbeitung personenbezogener Daten im Rahmen der Nutzung der Funktionen der Happy App:
Die Open Finance Lab GmbH,
Thurn-Taxis-Platz 6,
60313 Frankfurt am Main
E-Mail: Info@openfinancelab.com
1.7. Datenschutzaufsichtsbehörde:
Der Hessische Beauftragte für Datenschutz und Informationsfreiheit
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: 0611-1408 0
E-Mail: poststelle@datenschutz.hessen.de
1.8. Verantwortlicher für die Datenverarbeitung im Rahmen der Nutzung des Kontoinformationsdienstes:
finAPI GmbH,
Adams-Lehmann-Straße 44,
80797 München.
Weitere Informationen zum Datenschutz bei der Nutzung des Kontoinformationsdienstes finden Sie in den Datenschutzhinweisen des Kontoinformationsdienstleisters unter https://www.finapi.io/datenschutz/.
1.9. Datenschutzbeauftragter
Wir haben keinen Datenschutzbeauftragten (DSB) bestellt, da die gesetzlichen Voraussetzungen für die Pflicht zur Bestellung eines Datenschutzbeauftragten nach unserer Einschätzung derzeit nicht vorliegen.
Wenn Sie Fragen zum Thema Datenschutz haben, wenden Sie sich bitte per E-Mail an uns unter der folgenden E-Mail-Adresse: info@openfinancelab.com
Download der Happy App
1.10. Beim Herunterladen der mobilen App werden die erforderlichen Informationen und Ihre Daten an den von Ihnen ausgewählten App Store (Google Play: Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Ireland oder Apple App Store: Apple Inc., 1 Infinite Loop, Cupertino, CA 95014, USA) übermittelt, insbesondere Nutzername, E-Mail-Adresse und Kundennummer Ihrer Accounts, Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekenn Ziff.. Auf diese Datenverarbeitung durch Apple und Google haben wir keinen Einfluss und sind hierfür nicht verantwortlich. Apple und Google verarbeiten Ihre Daten unter Umständen auch in den USA. Wir haben mit Apple und Google Standardvertragsklauseln vereinbart, um beide Anbieter zur Einhaltung eines angemessenes Datenschutzniveaus zu verpflichten. Auf Anfrage stellen wir Ihnen eine Kopie zur Verfügung. Weitere Informationen zum Datenschutz, insbesondere zur Speicherdauer, finden Sie bei Apple unter https://www.apple.com/legal/privacy/de-ww/ und bei Google unter https://policies.google.com/privacy?hl=de&gl=de.
1.11. Wir verarbeiten Daten nur, soweit es für das Herunterladen der Happy App auf Ihr mobiles Endgerät notwendig ist.
Verarbeitung der Zugriffsdaten (sog. Log-Daten) bei der Nutzung der App
1.12. Umfang der Datenverarbeitung
1.12.1. Im Rahmen Ihrer Nutzung der App verarbeiten wir bestimmte Daten automatisch, die für die Nutzung der App erforderlich sind, insbesondere um den Zugriff über das Internet zu gewährleisten. Hierzu zählen:
• Datum und Uhrzeit der Serveranfrage
• Inhalt der Anforderung (konkrete Seite)
• Sprache und Version der Browsersoftware
• verwendetes Betriebssystem und dessen Oberfläche
• Ihre IP-Adresse
• Übertragene Datenmenge und Zugriffsstatus
• Zeitzonendifferenz zu Greenwich Mean Time (GMT)
• Gerätekennzeichnung Ihres mobilen Endgerätes (IMEI = International Mobile Equipment Identity) und Name Ihres mobilen Endgerätes
• eindeutige Nummer des Netzteilnehmers (IMSI = International Mobile Subscriber Identity)
• Mobilfunknummer (MSISDN)
• Inhalt der Anforderung (konkrete Seite),
1.13. Zweck der Datenverarbeitung
1.13.1. Die Übermittlung der Zugriffsdaten sind erforderlich, um Ihnen die Happy App und die damit verbundenen Funktionen der Happy Plattform zur Verfügung zu stellen, unsere vertraglichen und vorvertraglichen Pflichten zu erfüllen und um Missbrauch sowie Fehlfunktionen vorzubeugen und zu beseitigen. Dazu ist eine vorübergehende Speicherung der IP-Adresse für die Dauer der Happy App-Sitzung erforderlich. Diese ist zur Adressierung des Datenverkehrs zwischen Ihrem Endgerätsystem und der der App erforderlich.
1.13.2. Eine darüberhinausgehende Verarbeitung und Speicherung der IP-Adresse in Log-Files erfolgen zum Zweck der Sicherstellung der Funktionsfähigkeit unserer Happy App sowie zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Die im Rahmen der Nutzungsanalyse erhobenen Daten ermöglichen es uns, die Happy App stabiler und kundenfreundlicher zu gestalten, indem auftretende Probleme technisch diagnostiziert und gelöst werden können. Neben der Stabilität kann auch die IT-Sicherheit der Happy App gewährleistet werden.
1.13.3. Zudem nutzen wir diese allgemeinen Besuchsdaten ohne Zuordnung zu Ihrer Person oder sonstiger Profilerstellung für die für die Zwecke der Erstellung der anonymisierten Statistiken des Besuchs- und Klickverhaltens in der Happy App, um die Funktionsweise unserer Happy App zu optimieren und weiterzuentwickeln.
1.14. Rechtsgrundlage
1.14.1. Rechtsgrundlage für Erhebung und Verarbeitung der Log-Daten, soweit diese personenbezogenen Daten sind, ist Art. 6 Abs. 1 Satz 1 lit. b) DS-GVO (Vertragserfüllung und -anbahnung), soweit diese Daten für die Vertragsanbahnung und -durchführung erforderlich sind.
1.14.2. Rechtsgrundlage für eine über den Kommunikationsvorgang hinausgehende Speicherung der Log-Daten, namentlich für die Funktionsfähigkeit und Weiterentwicklung unserer Happy App sowie für die Gewährleistung der Sicherheit unserer informationstechnischen Systeme (soweit diese personenbezogene Daten sind), ist die Interessenabwägung gemäß Art. 6 Abs. 1 Satz 1 lit. f) DS-GVO (Wahrung berechtigter Interessen). Diese Interessenabwägung haben wir dahingehend zu unseren Gunsten vorgenommen, dass die Daten nur sehr gering in die Interessen des Betroffenen eingreifen, während wir mit den Daten, auch im Interesse des Betroffenen, die Stabilität, Sicherheit, Funktionsfähigkeit und Kundenfreundlichkeit unserer Produkte verbessern.
1.15. Speicherdauer und Widerspruch
1.15.1. Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der App und Internetzugriff ist dies der Fall, wenn Sie den Besuch der App beenden. Eine darüberhinausgehende Speicherung von Log-Daten einschließlich der IP-Adresse zum Zwecke der Systemsicherheit erfolgt für einen Zeitraum von maximal sieben (7) Tage Tagen ab Beendigung des Zugriffs auf die Webseite. Danach wird die IP-Adresse gelöscht oder so verfremdet, sodass eine Zuordnung des aufrufenden Clients nicht mehr möglich ist (anonymisiert).
1.15.2. Die Erfassung von Log-Daten zur Bereitstellung der Happy-App einschließlich deren Speicherung in Logfiles in den vorgenannten Grenzen ist für den Betrieb der Happy-App zwingend erforderlich. Sofern der Nutzer die Happy-App nutzen möchte, kann dieser der Datenverarbeitung daher nicht widersprechen.
1.16. Weitergabe an Dritte
1.16.1. Die unter Ziff. 4.1. genannten Daten geben wir an folgende Dienstleister weiter, mit denen wir jeweils Auftragsverarbeitungsvereinbarungen gemäß Art. 28 DS-GVO geschlossen haben:
• Dienstleister, die wir zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme einsetzen,
• unseren Hosting-Provider und
• Cloud-Anbieter.
1.17. Keine Verarbeitung außerhalb der EU
Die Logdaten werden ausschließlich innerhalb der europäischen Union verarbeitet.
Datenverarbeitung bei Registrierung und Nutzung der Happy-App
1.18. Umfang der Datenverarbeitung
1.18.1. Über die in Ziff. 4 genannten Daten hinaus werden im Rahmen der Registrierung als Nutzer und anschließender Anmeldung in der Happy App werden folgende personenbezogenen Daten verarbeitet:
• Anrede, Name, Nachname, Geburtsdatum, E-Mail-Adresse, Mobilfunknummer, Sicherheitscode/TAN, Anschrift, Bezeichnung des Arbeitgebers, Passwort für Happy Nutzerkonto;
• Zeitstempel der Registrierung, IP-Adresse bei der Registrierung, Annahme der Happy Nutzungsbedingungen, Version der Happy Nutzungsbedingungen, Version der Datenschutzerklärung im Zeitpunkt der Registrierung, Vertragsannahme seitens Happy;
• Ihrem Kundenkonto wird zudem automatisch eine Kundennummer zugeordnet;
• Logindaten: IP-Adresse, Zeitstempel der jeweiligen Kontoanmeldung.
1.18.2. Wenn Sie nach Anmeldung in der Happy App Gutscheine über den Happy Online Shop erwerben und die Funktionalität der Bereitstellung von aufbereiteten Kontoinformationen nutzen möchten werden folgende personenbezogenen Daten verarbeitet:
• Bankverbindungsdaten, SEPA-Lastschriftmandat,
• Gutscheinkaufhistorie: IP-Adresse, Timestamp, Gutscheinhändler, Gutscheinbetrag, Gutscheingültigkeit,
• Beauftragung des Kontoinformationsdienstleisters,
• Kontoinformationen Ihres Gehalts-Bankkontos, einschließlich IBAN, Bankname, BIC, Kontonummer, Bankleitzahl, Konto-Transaktionsdaten, einschließlich Namen der Empfänger, der Zahler, Zahlungsinformationen und Kontostand (die „Kontodaten“) für die Zwecke der Bonitätsprüfung und Bereitstellung der aufbereiteten Kontoinformationen.
1.18.3. Im Rahmen der Bereitstellung von Informationen in Bezug auf finanzielle Angelegenheiten in der Happy App nach Anmeldung werden folgende personenbezogenen Daten verarbeitet:
• Abgerufene Inhalte zur Weiterbildung in finanziellen Angelegenheiten.
• Im Rahmen von Analysen und Auswertungen verarbeiten wir unter Anwendung einer Software bzw. eines Algorithmus Ihre bei Registrierung angegebenen personenbezogenen Daten und – mit Ihrer Zustimmung - Ihre Kontodaten, d.h. die personenbezogenen Daten, die bei Nutzung unserer Financial Wellbeing Leistungen im Zusammenhang mit Ihrem Nutzerprofil verarbeitet werden, um Ihnen möglichst individuell Informationen, d.h. insbesondere Auskünfte zu individuellen Einsparpotenzialen verbunden mit den in unserem Gutschein Online-Shop vorhandenen Gutscheinangeboten zur Optimierung Ihrer Finanzen, zukommen lassen zu können. Die Datenverarbeitung erfolgt nur nach Ihrer ausdrücklichen Einwilligung, Art. 6 Abs. 1 S. 1 lit. a DSGVO im Rahmen der Registrierung. Auskünfte und Produktvorschläge erhalten Sie von uns per E-Mail und/oder in Ihrem persönlichen Nutzerbereich in der Happy App - unabhängig davon, ob Sie unseren Newsletter abonniert haben.
1.19. Zwecke der Datenverarbeitung
1.19.1. Die unter Ziff. 5.1 benannten Daten verarbeiten wir zu den folgenden Zwecken, soweit eine solche Verarbeitung für die Erfüllung des jeweiligen Zwecks erforderlich ist:
• Wir verarbeiten Ihre Daten gemäß Ziffer 5.1.1 zur Verwaltung des Zugangs zu einzelnen Funktionalitäten der Happy App. Die Daten werden für die Sicherheit des Happy-Accounts benötigt, insbesondere dafür, dass nur der diesem Happy-Account zugeordnete Nutzer Zugang zu dem ihm zugeordneten Happy-Account erlangen kann;
• Wir verarbeiten Ihre Daten gemäß Ziffer 5.1.2 und 5.1.3 zur Bereitstellung der Happy App Funktionaltäten: Bereitstellung von Inhalten zur Weiterbildung in finanziellen Angelegenheiten, Erwerb von Gutscheinen (einschließlich der darauffolgenden Zahlungsabwicklung unter Gewährung des Zahlungsaufschubs) sowie Bereitstellung von aufbereiteten Kontoinformationen;
• Darüber hinaus verarbeiten wir Ihre Kontodaten zum Zwecke der Anpassung der auf der Plattform vorhandenen Inhalte, um Ihnen Inhalte und Gutscheine in der Happy App anzubieten, die an Ihre individuelle Einsparbedürfnisse und Präferenzen angepasst sind;
• Ferner verarbeiten wir Ihre Kontodaten zum Zwecke der Bonitätsprüfung im Kontext der Gewährung des Zahlungsaufschubs für den Erwerb von Gutscheinen;
• Außerdem verarbeiten wir Ihre Kontodaten zur Optimierung unserer Finanzanalysen (wie beispielsweise die verbesserte Erkennung von Zahlungsausfallrisiken, finanzgetriebenen Stressfaktoren)
• Verwaltung von Kundenbeziehungen / Kundendienst (z.B. CRM, Verträge, Einziehung der Lastschriftenmandate, Erstellung von Rechnungen, unbezahlte Rechnungen und Beschwerden, Kundenkommunikation, technischer Kundendienst), soweit diese Daten für die Verwaltung von Kundenbeziehungen und Kundendienst erforderlich sind;
• Erfüllung unserer handels- bzw. steuerrechtlichen Pflichten, soweit diese Daten für die Erfüllung dieser Pflichten erforderlich sind.
1.20. Rechtsgrundlage
1.20.1. Rechtsgrundlage für die Verarbeitung der in Ziff. 5.1. genannten Daten für die Zwecke der Verwaltung des Zugangs zur Happy App bzw. Bereitstellung der einzelnen Funktionalitäten der Happy Plattform, sowie Verwaltung von Kundenbeziehungen und Kundendienst ist Art. 6 Abs. 1 Satz 1 lit. b DS-GVO (Vertragsanbahnung und Vertragsdurchführung), soweit diese Daten zur Durchführung vorvertraglicher und vertraglicher Maßnahmen erforderlich sind, die auf Ihre Anfrage erfolgen.
1.20.2. Rechtsgrundlagen für die Verarbeitung von Kontodaten, einschließlich besonderer Datenkategorien
• Rechtsgrundlage für die Verarbeitung der in Ziff. 5.1. genannten Kontodaten zum Zweck der Anpassung der auf der Plattform vorhandenen Inhalte, um Ihnen Inhalte und Gutscheine anzubieten, die an Ihre individuelle Einsparbedürfnisse Präferenzen angepasst sind, ist ihre im Rahmen der Registrierung erteilte Einwilligung. Sie können Ihre Einwilligung gemäß Art. 6 Abs. 1 Satz 1 lit. a DS-GVO jederzeit mit Wirkung für die Zukunft widerrufen.
• Rechtsgrundlage für die Verarbeitung von Kontodaten zwecks Bonitätsprüfung im Rahmen der Gewährung des Zahlungsaufschubs beim Erwerb von Gutscheinen ist unser überwiegendes berechtigte Interesse gemäß Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, da wir mit der Gewährung des Zahlungsaufschubs in Vorleistung treten und das wirtschaftliche Risiko des Zahlungsausfalls tragen.
• Rechtsgrundlage für die Verarbeitung Ihrer Kontodaten für zur Optimierung unserer Finanzanalysen (wie beispielsweise die verbesserte Erkennung von Zahlungsausfallrisiken, finanzgetriebenen Stressfaktoren ist ihre im Rahmen der Registrierung erteilte Einwilligung Art. 6 Abs. 1 Satz 1 lit. a DS-GVO. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen.
Verarbeitung besonderer Datenkategorien:
Im Rahmen der Verarbeitung von und Bereitstellung von Kontodaten kann es vorkommen, dass auch besondere personenbezogene Daten im Sinne des Art. 9 Abs. 1 DS-GVO von Happy verarbeitet werden müssen. Bei besonderen personenbezogenen Daten handelt es sich um Daten, die Angaben über die rassische oder ethnische Herkunft, politische Meinungen, religiöse oder philosophische Überzeugungen, Gewerkschaftszugehörigkeit, Gesundheit sowie Sexualleben enthalten können. Derartige Angaben können beispielsweise im Zusammenhang mit von Ihnen getätigten Überweisungen an Arztpraxen, Gewerkschaften oder bestimmte Vereine im Verwendungszweck erscheinen. Happy nutzt diese Angaben ausschließlich im Rahmen der in Ziff. 5.1.2 und 5.1.3 beschriebenen Verarbeitungen. Da es technisch nicht möglich ist, bei der Extraktion der Transaktionshistorie Überweisungen, die besondere personenbezogene Daten enthalten, auszuklammern, ist Ihre diesbezügliche Einwilligung als der betroffenen Person erforderlich, um das Produkt vollumfänglich nutzen zu können. Die Nutzung des Kontoinformationsdienstes erfolgt auf freiwilliger Basis. Ohne die Erteilung der entsprechenden Einwilligung können Sie die Happy Financial Wellbeing Leistungen ggf. nur eingeschränkt nutzen.
Wir verarbeiten Ihre Kontodaten dementsprechend auf Grundlage Ihrer im Rahmen der Registrierung erteilte ausdrückliche Einwilligung nach Art. 6 Abs. 1 Satz 1 lit. a und Art. 9 Abs. 2 lit. a DS-GVO.
1.20.3. Rechtsgrundlage für die Verarbeitung der in Ziff. 5.1. genannten Daten zum Zweck der Erfüllung unserer handels- bzw. steuerrechtlichen Pflichten ist Art. 6 Abs. 1 Satz 1 lit. c DS-GVO, soweit die Verarbeitung dieser Daten für die Erfüllung unserer gesetzlichen Verpflichtungen erforderlich ist.
1.20.4. Rechtsgrundlage für die Zusendung der Bestätigungs-SMS mit dem Sicherheitscode/TAN im Rahmen des Registrierungsverfahrens ist Art. 6 Abs. 1 lit. b DS-GVO, da diese auf Ihre Anfrage zur Anbahnung des Plattform-Nutzungsvertrag mit Ihnen erfolgt.
1.21. Speicherdauer und Widerspruch
1.21.1. Ihre Daten werden gelöscht oder anonymisiert, sobald sie jeweils für die Erreichung des Zwecks ihrer Erhebung (vgl. zuvor Ziff. 5.2.) nicht mehr erforderlich sowie die jeweiligen gesetzlichen Aufbewahrungsfristen im Einzelfall abgelaufen sind. Daher verarbeiten und speichern wir Ihre Daten grundsätzlich nicht länger, als diese zur Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich sind. Ihre Geschäftsbeziehung zu uns ist in aller Regel ein Dauerschuldverhältnis. Daher speichern wir Ihre Daten wie folgt:
• Ihre Daten, die wir aufbewahren müssen (insb. Rechnungsdaten), um unsere handels- und steuerrechtlichen Aufbewahrungspflichten zu erfüllen, bewahren wir innerhalb der sich aus dem Handelsgesetzbuch (HGB) und der Abgabenordnung (AO) ergebenden Fristen, die zwischen zwei (2) bis zehn (10) volle Kalenderjahre betragen.
• Ihre Daten, die wir als Beweismittel für Verteidigung bzw. Geltendmachung von Ansprüchen benötigen, bewahren wir innerhalb gesetzlicher Verjährungsfristen auf. Nach den §§ 194ff. des Bürgerlichen Gesetzbuches (BGB) beträgt die Verjährungsfrist in der Regel drei (3) Jahre.
• Daten zu Forderungen aus Rücklastschriften und ähnlichen Störungen werden gelöscht, sobald die Forderung vollständig beglichen ist, soweit sie nicht Teil von Unterlagen sind, die entsprechend längeren Aufbewahrungspflichten gemäß HGB und AO unterliegen.
• Ihre Kontodaten werden von uns so lange gespeichert, bis Sie die Einwilligung widerrufen und ihre Speicherung für die oben genannten Zwecke nicht mehr erforderlich ist. Sie werden in der Regel spätestens nach einem Jahr nach ihrer Erhebung automatisch gelöscht.
• Wir werden ihre personenbezogenen Daten umgehend löschen, wenn Sie den Plattform-Nutzungsvertrag kündigen, soweit wir nicht aufgrund gesetzlicher Bestimmungen zu einer weiteren Verarbeitung, insbesondere einer weiteren Speicherung verpflichtet sind.
1.22. Weitergabe an Dritte und Übermittlung der Daten an uns von Dritten
1.22.1. Unsere Auftragsverarbeiter
Bei der Erbringung unserer Financial Wellbeing Leistungen setzen folgende Dienstleister ein, die in unserem Auftrag und nach unserer Weisung Zugang zu Ihren unter Ziff. 5.1. genannten Daten bekommen können und mit denen wir jeweils eine Auftragsverarbeitungsvereinbarung gemäß Art. 28 DS-GVO geschlossen haben:
• Dienstleister, die wir zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme einsetzen,
• unseren Hosting-Provider und Cloud-Anbieter
• Cadooz GmbH, Osterbekstraße 90b, 22083 Hamburg ("Cadooz“). Wir übermitteln an Cadooz ausschließlich Ihrer E-Mail-Adresse, damit Cadooz die von Ihnen bei uns gekauften Gutscheine in unserem Auftrag an Sie übermitteln kann.
• Twilio Ireland Limited (Versand von SMS)
Bei Ihrer Registrierung in der Happy App werden die Bestätigungs-SMS durch die Firma Twilio, Twilio Ireland Limited, 25-28 North Wall Quay, Dublin 1, Ireland, versendet. Hierfür wird Ihre Handynummern an die Firma Twilio weitergegeben. Es ist nicht ausgeschlossen, dass Twilio die Daten auch an sein Mutterunternehmen, die Twilio Inc. mit Sitz in den USA weiterleitet. Twilio hat sich jedoch dazu verpflichtet, sich an die Standards und Vorschriften der Datenschutzgrundverordnung zu halten, indem sie zusätzlich zu den Standard-Vertragsklauseln sog. Binding Corporate Rules abgeschlossen haben, welche als geeignete Garantie gemäß Art. 46 Abs.2 lit. b DS-GVO als Grundlage für eine Übermittlung von Daten in ein Drittland fungieren können.
1.22.2. FinAPI GmbH
Ferner im Rahmen der Bereitstellung von Kontoinformationen und Bonitätsprüfung bedienen wir uns für den Abruf Ihrer Kontoinformationen bei Ihrer kontoführenden Bank des Serviceproviders, finAPI GmbH (Kontoinformationsdienstleister), Adams-Lehmann-Straße 44, 80797 München („finAPI“). Im Rahmen des Kontoinformationsdienstes ruft finAPI in Ihrem Auftrag Ihre Kontodaten direkt von Ihrer Bank ab und übermittelt die notwendigen Daten anschließend an uns. Dabei verarbeitet finAPI Ihre Daten als selbstständige Verantwortliche aufgrund eines Vertrages mit Ihnen. Die Datenschutzerklärung von finAPI können sie unter folgendem Link ansehen: https://www.finapi.io/datenschutz/
finAPI wird als zertifizierter Zahlungsdienstleister gemäß § 10 Abs. 1 ZAG, § 1 Abs. 1 Nr. 7 und 8 ZAG laufend von der deutschen Finanzaufsicht überwacht. finAPI wurde ferner von uns sorgfältig als Serviceprovider ausgewählt. finAPI darf Ihre personenbezogenen Daten ausschließlich zur Erfüllung des Vertrages mit Ihnen zu den von uns vorgegebenen Zwecken verarbeitet. Die Kontodaten werden in nach ISO 27001 zertifizierten Rechenzentren innerhalb Deutschlands vorgehalten und an uns verschlüsselt übertragen.
1.22.3. Anonymisierte Auswertungen
Wenn wir pseudonymisierte und/oder anonymisierte Analysen durchführen, können diese projektbezogen mit unseren akademischen Kooperations-Partnern geteilt werden können. So führen wir z.B. mit Universitäten wissenschaftliche Untersuchungen durch, um Privatkunden:innen bei der Verbesserung ihrer finanziellen Situation bestmöglich zu unterstützen. Ein Bezug zu personenbeziehbaren Daten ist zu keinerlei Zeitpunkt möglich.
1.23. Verarbeitung außerhalb der EU
1.23.1. Es ist nicht ausgeschlossen, dass Twilio die Daten auch an ihre Mutterunternehmen, die Twilio Inc. mit Sitz in den USA weiterleitet. Twilio hat sich jedoch dazu verpflichtet, sich an die Standards und Vorschriften der Datenschutzgrundverordnung zu halten, indem sie zusätzlich zu den Standard-Vertragsklauseln sog. Binding Corporate Rules abgeschlossen haben, welche als geeignete Garantie gemäß Art. 46 Abs.2 lit. b DS-GVO als Grundlage für eine Übermittlung von Daten in ein Drittland fungieren können.
1.23.2. Im Übrigen werden die in der Ziff. 5.1. genannten Daten ausschließlich innerhalb der europäischen Union und in der Schweiz verarbeitet. Die Rechtsgrundlage für den Datentransfer in die Schweiz ist der Angemessenheitsbeschluss der Europäischen Kommission für die Schweiz.
E-Mail-Newsletter
1.24. Umfang der Datenverarbeitung
1.25. Sofern Sie uns Ihre Einwilligung zur Übersendung von Informationen mit werblichem Charakter per E-Mail (E-Mail-Newsletter), erteilt haben, nutzen wir Ihre E-Mail-Adresse zum Zwecke der Übersendung entsprechender Informationen.
Über die Happy App kann auf Ihren Wunsch ein Newsletter abonniert werden, sofern Sie uns hierfür eine gültige E-Mail-Adresse mitteilen. Um prüfen zu können, ob Sie Inhaber der angegebenen E-Mail-Adresse sind bzw. deren Inhaber mit dem Empfang des Newsletters einverstanden ist, versenden wir eine automatisierte E-Mail an die angegebene E-Mail-Adresse (sogenannter Double Opt-In). Erst nach Bestätigung der Newsletter-Registrierung über einen entsprechenden Link in der Bestätigungs-E-Mail nehmen wir die angegebene E-Mail-Adresse sowie Ihren Vor- und Nachnamen in unseren internen Newsletter-Verteiler auf. Sind Sie in der Happy App angemeldet, können Sie den Newsletter jederzeit über das Betätigen der entsprechenden Schaltfläche in Ihrem Nutzerbereich in der Happy App abonnieren.
Im Zusammenhang mit dem Versand des Newsletters verarbeiten wir folgende personenbezogenen Daten von Ihnen:
• E-Mail-Adresse, Ihr Vor- und Nachname, Ihre Nutzer-ID;
• Umstände der Kommunikation bei der Registrierung, beim Versand der Bestätigungs-E-Mail sowie beim Klick auf den Link (z.B. IP Adresse, Zeit/Datumsstempel, Telefonnummer).
• Analyse des Nutzungs- und Klickverhalten im Newsletter. Die zwecks Übermittlung des Newsletters gesendeten E-Mails enthalten sogenannte Tracking Pixel (Web-Beacons). Tracking Pixel sind Ein-Pixel-Bilddateien, die auf die Happy App verlinken. Die Analyse erfolgt durch Erhebung folgender Daten: E-Mail-Empfänger, Zeitpunkt der Öffnung der E-Mail, in der der Newsletter versendet wird, Nutzerverhalten, d.h. Art, Zeitpunkt und Reihenfolge der Aktivierung von Links im Newsletter, sowie Tracking-Pixeln, die Ihrer E-Mail-Adresse zugeordnet und mit einer eigenen ID versehen werden. Auch im Newsletter enthaltene Links enthalten diese ID.
1.26. Zweck der Datenverarbeitung
Die in Ziff. 6.2 genannten Daten werden zum Zweck des Versands, der Verwaltung und der Anpassung des bestellten Newsletters an Ihre individuellen Bedürfnisse erhoben und verarbeitet.
1.27. Rechtsgrundlage
Rechtsgrundlage sowohl für das Abonnieren des Newsletters als auch für das Tracking Ihres Klickverhaltens in unseren Newslettern ist Ihre Einwilligung gemäß Art. 6 Abs. 1 S. 1 lit. a DS-GVO.
1.28. Speicherdauer und Widerspruch
Daten, die wir im Zusammenhang mit unserem Newsletter erheben, werden – vorbehaltlich eines jederzeit möglichen Löschungsbegehrens bzw. Widerrufs durch Klick auf den am Ende jeder Newsletter-E-Mail bereitgestellten Link oder per E-Mail an info@openfinancelab.com – solange gespeichert, wie wir diese Daten zum Versand des Newsletters benötigen. Die Daten werden darüber hinaus auch dann gelöscht, wenn wir den Versand des abonnierten Newsletters einstellen.
1.29. Weitergabe an Dritte
1.29.1. Beim Versand unseres Newsletters binden wir folgenden Dienstleister ein: SendGrid, Inc.
SendGrid ist ein Dienst, mit dem u.a. der Versand von Newslettern per E-Mail organisiert und analysiert werden kann. Happy nutzt die Dienste von SendGrid, einen Dienst der Firma SendGrid, Inc., 1801 California Street, Suite 500, Denver, CO 80202, USA. Wenn Sie Daten, z.B. E-Mail-Adresse, angeben, werden diese auf den Servern von SendGrid gespeichert.
1.30. Verarbeitung außerhalb der EU
Die in der Ziff. 6.1. dargestellten Daten werden von SendGrid außerhalb der Europäischen Union in den USA verarbeitet. Wir haben mit SendGrid eine vertragliche Vereinbarung zur Verarbeitung der Daten i.S.d. Art. 28 DS-GVO abgeschlossen. Das angemessene Datenschutzniveau ist durch die Verwendung der EU-Standardvertragsklauseln gewährleistet. Sendgrid hat bereits auf die neuen Standarddatenschutzklauseln der EU-Kommission umgestellt, die ab dem 27.09.2021 wirksam werden. Weitere Informationen zum Datenschutz bei SendGrid finden Sie hier https://sendgrid.com/policies/security/
Cookies
1.31. Umfang und Zweck der Datenverarbeitung
Zusätzlich zu den in der Ziff. 4 genannten Log-Daten werden bei Ihrer Nutzung unserer Happy App Cookies auf Ihrem mobilen Endgerät gespeichert. Bei Cookies handelt es sich um kleine Textdateien, die im Gerätespeicher Ihres Endgerätes abgelegt und der von Ihnen verwendeten Happy App zugeordnet gespeichert werden. Laut Gesetz können wir Cookies auf Ihrem Gerät speichern, wenn diese für den Betrieb dieser Seite unbedingt notwendig sind. Für alle anderen Cookie-Typen würden wir Ihre Einwilligung benötigen.
Wir verwenden nur das technische erforderliche Cookie […], das dazu dient […]
1.32. Rechtsgrundlage
Die Rechtsgrundlage für den Einsatz technisch notwendiger Cookies ist Art. 6 Abs. 1 Satz 1 lit. b DS-GVO, soweit die Möglichkeit der Herstellung eines Personenbezugs zum Nutzer besteht und der Einsatz zum Zwecke der Bereitstellung unserer Web- und/oder Online-Angebote im Sinne der Vertragserfüllung erforderlich ist, im Übrigen ist Rechtsgrundlage Art. 6 Abs. 1 Satz 1 lit. f DS-GVO, da der Einsatz auch in unserem berechtigten Interesse zum Zweck der Bereitstellung unserer Happy App erfolgt.
1.33. Speicherdauer und Widerspruchs
Die Cookies werden auf Ihrem jeweiligen Endgerät abgelegt und von dort an unseren Webserver übermittelt. Es werden sog. permanente Cookies und Session-Cookies unterschieden. Session-Cookies werden während der Dauer einer Browsersitzung gespeichert und mit Schließen des Browsers gelöscht. Permanente Cookies werden nicht mit Schließen der jeweiligen Browsersitzung gelöscht, sondern über einen längeren Zeitraum auf dem Endgerät des Nutzers gespeichert.
Das von uns verwendete Cookie ist ein CookieScruptConsent - Cookie und wird nach Ablauf von 30 Tagen von Ihrem Endgerät gelöscht.
Beim Aufruf unserer Happy App werden Sie durch einen Infobanner über die Verwendung von Cookies informiert und auf diese Datenschutzerklärung verwiesen. Als Nutzer haben Sie die volle Kontrolle über die Verwendung und Speicherung von Cookies. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies generell deaktivieren oder einschränken. Bereits gespeicherte Cookies können Sie jederzeit löschen. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Happy App deaktiviert, können möglicherweise nicht mehr alle Funktionen der Happy App vollumfänglich genutzt werden.
Automatisierte Entscheidungsfindung einschließlich Profiling
Eine ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhende Entscheidungsfindung findet nicht statt.
Datensicherheit
1.34. Ihre persönlichen Daten, Kontoinformationsdaten und Finanzanalysedaten werden verschlüsselt bei unserem Hosting-Dienstleister auf einem Rechenzentrum in Deutschland (Frankfurt) gespeichert. Mit dem Hosting-Dienstleister haben wir eine Auftragsverarbeitungsvereinbarung nach Vorgabe des Art. 28 DS-GVO geschlossen.
1.35. Bei der Verschlüsselung setzen wir auf das weltweit sicherste AES-Verschlüsselungsverfahren in Kombination mit einem zufällig generierten Schlüssel für jeden Nutzer. Alle Daten werden über eine verschlüsselte SSL-Verbindung übertragen.
Ihre Rechte
Sie haben das Recht:
1.36. gemäß Art. 7 Abs. 3 DS-GVO Ihre einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen dürfen;
1.37. gemäß Art. 15 DS-GVO Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten zu verlangen. Insbesondere können Sie Auskunft über die Verarbeitungszwecke, die Kategorie der personenbezogenen Daten, die Kategorien von Empfängern, gegenüber denen Ihre Daten offengelegt wurden oder werden, die geplante Speicherdauer, das Bestehen eines Rechts auf Berichtigung, Löschung, Einschränkung der Verarbeitung oder Widerspruch, das Bestehen eines Beschwerderechts, die Herkunft Ihrer Daten, sofern diese nicht bei uns erhoben wurden, sowie über das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling und ggf. aussagekräftige Informationen zu deren Einzelheiten verlangen;
1.38. gemäß Art. 16 DS-GVO unverzüglich die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen;
1.39. gemäß Art. 17 DS-GVO die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten zu verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist;
1.40. gemäß Art. 18 DS-GVO die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, soweit die Richtigkeit der Daten von Ihnen bestritten wird, die Verarbeitung unrechtmäßig ist, Sie aber deren Löschung ablehnen und wir die Daten nicht mehr benötigen, Sie jedoch diese zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen oder Sie gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung eingelegt haben;
1.41. gemäß Art. 20 DS-GVO Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen und
1.42. gemäß Art. 77 DS-GVO das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Jede betroffene Person hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn die betroffene Person der Ansicht ist, dass die Verarbeitung der sie betreffenden personenbezogenen Daten gegen diese Verordnung verstößt. Die für uns z.B. in Frankfurt am Main zuständige Behörde ist in Ziff. 2.2 genannt.
Widerspruchsrecht
1.43. Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DS-GVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DS-GVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben. Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an info@openfinancelab.com.
1.44. Außerdem können Sie Ihren Happy Plattform Account jederzeit innerhalb der Happy App dauerhaft und unwiderruflich löschen, um der Verarbeitung Ihrer Daten zu widersprechen.
