Datenschutzinformation
Verarbeitungstätigkeit
Verwaltung von Kundendaten [1]
Verantwortlicher
Lichtlogistik Sperl e.U. („Lichtlogistik“)
Sitz: Untere Öden 22, 3400 Klosterneuburg
Tel: +43 699 11 900 900
E-Mail: office@lichtlogistik.wien
Zwecke der Datenverarbeitung
auf der Rechtsgrundlage der Vertragserfüllung oder -vorbereitung
- Erfüllung von Informationsanfragen von Kunden (nach Bekanntgabe personenbezogener Daten durch Kunden)
Interne Verwaltung von Informationsanfragen und Kundendaten zum Zwecke der Beratung des Kunden, sowie Planung und Ausführung der angefragten Dienstleistung
Abwicklung der Dienstleistung (Planung, Lieferung, Ausführung) und Durchführung der Warenlieferungen
Erhöhung der Kundenzufriedenheit und Kundenbindung durch Berücksichtigung persönlicher Wünsche, Werbemaßnahmen und gezielte Produktinformationen, auch Veranstaltung von Events und Durchführung von Befragungen
Verbreitung von eigener und fremder Werbung direkt oder in den Online-Informationsangeboten und Produkten.
Erfüllung individueller Anfragen für Zusatzangebote, Empfehlungen und Services von Drittanbietern.
auf der Rechtsgrundlage der (überwiegenden) berechtigten Interessen von Lichtlogistik: Direktwerbung
- Ausarbeiten von Statistiken und Bewertungen und Erstellung von internen Berichten.
Erhebung der Nutzerzahlen zu den Dienstleistungen zur Dokumentation der Reichweite.
Handhabung von Forderungen und Beschwerden.
Neuerliche Ansprache von Kunden zur Rückgewinnung sowie Neugewinnung.
Verbreitung/Ausspielung von Werbung für (weitere) Waren und Dienstleistungen von Lichtlogistik im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig.
Auswertung des Nutzerverhaltens und der persönlichen Vorlieben der Kunden zur zielgerichteten Verbreitung von Werbung mit dem Ziel der Vermeidung von Streuverlusten (unter Einsatz von Profiling, siehe "Widerspruch".)
auf der Rechtsgrundlage der gesetzlichen Verpflichtung
- Erstellung und Aufbewahrung gesetzlich vorgeschriebener Belege unter Beachtung von Bilanzierungsgrundsätzen.
Zweckänderung (Weiterleitung)
Direktwerbung
Lichtlogistik informiert, dass personenbezogene Daten von Kunden auch zu Zwecken der Direktwerbung (inkl. Profiling) verarbeitet werden. Mit der Direktwerbung möchte Lichtlogistik den Vertrieb seiner angebotenen Produkte und Dienstleistung fördern.
Zu diesem Zweck werden diese Daten keinem Dritten überlassen. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung.
Widerspruch gegen die Verarbeitung zu Zwecken der Direktwerbung
Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zu Zwecken des Profiling jederzeit und ohne Angabe von Gründen Widerspruch beim Verantwortlichen einlegen. Der Widerspruch bewirkt, dass Lichtlogistik die personenbezogenen Daten des Bewerbers zukünftig nicht mehr zu Zwecken des Profiling verarbeitet.
Rechtsgrundlage der Datenverarbeitung
Online-Informationen: Vertragserfüllung
Die Inanspruchnahme der Online-Medien des Verantwortlichen basiert auf einem Vertrag iSd Art 6 Abs 1 lit b DS-GVO [2], durch Registrierung entsteht ein Registrierungsverhältnis. Der Verantwortliche legt offen, dass er bei der Erbringung der vertragsgemäßen Leistungen Inhalte Dritter (wie Links, Pixel, Plug-ins) einbindet. Aufgrund der technischen Gegebenheiten beim Aufruf der Inhalte bzw. des Internets werden beim Seitenaufbau automatisiert elektronische Identifikationsdaten, insbesondere die IP-Adresse und die Browser-Einstellungen des Nutzers, an Dritte, die diese unter eigener Verantwortung weiterverarbeiten, übermittelt. Bei der Verwendung von Social-Media-Kanälen des Verantwortlichen besteht das primäre Vertragsverhältnis zum jeweiligen Diensteprovider.
Nutzung Online-Shop
Die Nutzung des Online-Shops des Verantwortlichen basiert auf einem Vertrag iSd Art 6 Abs 1 lit b DS-GVO[3], durch Abschluss des Bestellvorgangs entsteht ein Kaufvertrag. Der Verantwortliche legt offen, dass er bei der Erbringung der vertragsgemäßen Leistungen z.B. Abwicklung des Zahlungsverkehrs, Versand, Dienste Dritter in Anspruch nimmt.
Verwaltung von Kundendaten: Vertragserfüllung oder -vorbereitung
gesetzliche Verpflichtung (Art 6 Abs 1 DSGVO)
Zusatzservice: Einwilligung:
Für einzelne Services (elektronischer Newsletter, Übernahme der Daten in Marketingsystem) holt Lichtlogistik ausdrückliche und nachweisliche Einwilligungen vom Kunden ein. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.
Direktwerbung (inkl. Profiling) und (überwiegendes) berechtigtes Interesse von Lichtlogistik zur Datenverarbeitung
Beschreibungen
Beschreibung der (überwiegenden) berechtigten Interessen zu Zwecken der Direktwerbung
Lichtlogistik verarbeitet Kundendaten (nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO[4] („sensible Daten“)) auch, um diese zu Zwecken der Direktwerbung für (weitere) Angebote von Lichtlogistik zu nutzen (siehe dazu auch Punkt 5.). Lichtlogistik hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Verarbeitet werden dabei ausschließlich jene Bewerberdaten, über die Lichtlogistik aus dem Vertragsverhältnis verfügt und für die noch die Speicherfrist läuft. Eine Verlängerung der Speicherfrist erfolgt dadurch nicht. Vorrangiges Ziel der Datenverarbeitung ist die neuerliche Ansprache von Kunden zur Rückgewinnung sowie Neugewinnung mit dem Ziel, damit wieder in ein (vor-)vertragliches Vertragsverhältnis zu gelangen. Dabei stützt sich Lichtlogistik auf seine konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit (Art. 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechte
- zur Übermittlung von postalischer Werbung;
- zur Vornahme von Werbeanrufen nach Einwilligung;
- zur Übermittlung von elektronischer Post nach Einwilligung;
- zur Übermittlung von elektronischer Post gemäß § 107 Abs 3 TKG;
Bei der Nutzung dieser Daten hält Lichtlogistik die kommunikationsrechtlichen Vorgaben, insbesondere § 107 TKG, ein.
Beschreibung der IT-Sicherheit
Lichtlogistik speichert die IP-Adressen seiner Kunden für die Dauer von 7 Tagen, um auf jegliche Angriffe in Form der Überlastung von Servern („Denial of service“-Angriffe) und andere Schädigungen der Systeme zeitnah analysieren und abwehren zu können. Langfristige Analysen werden dynamisch nach aktuellem Bedrohungsszenario archiviert. An dieser Datenverarbeitung zum Zwecke der Aufrechterhaltung der Funktionsfähigkeit seiner online bereitgestellten Dienste hat Lichtlogistik ein überwiegendes berechtigtes Interesse (Erwägungsgrund 49 der DSGVO).
Bewertungen von persönlichen Aspekten des Dienstgebers („Profiling“)
Bewertung von persönlichen Interessen
Zum Zweck der Vermeidung von Streuverlusten (und der Minimierung von Datenverarbeitungen) im Direktmarketing speichert Lichtlogistik Kundenaktivitäten und das Kaufverhalten, wie zum Beispiel, Reaktionen auf bestimmte Produkte/Dienstleistungen, Beschwerden, Special Services, persönliche Vorlieben, und schließt daraus auf bestimmte persönliche Interessen. Diese bewerteten Interessen verwendet Lichtlogistik um den Kunden zielgerichtet interessensspezifische Angebote und Werbung zu unterbreiten. Insb. um Werbung zur Kundenbindung zu übermitteln um so Streuverluste bei der Werbung zu vermeiden.
Widerspruch
Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zu Zwecken des Profiling jederzeit und ohne Angabe von Gründen Widerspruch beim Verantwortlichen einlegen. Der Widerspruch bewirkt, dass Lichtlogistik die personenbezogenen Daten des Kunden zukünftig nicht mehr zu Zwecken des Profiling verarbeitet.
Pflicht zur Bereitstellung von Daten
Den Kunden trifft keine Pflicht zur Bereitstellung von Daten.
Automatisierte Entscheidungsfindung
Der Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtliche Wirkung entfaltet.
Verarbeitete Datenarten
vom Kunden bekannt gegeben
- Name
- E-Mail-Adresse
- Optional: Telefon und Mobiltelefon
- Rechnungsadresse
- Lieferadresse (von Rechnungsadresse abweichende Lieferadresse)
- Zahlungsinformationen
- Optional: Kontakte und Ansprechpartner
von Lichtlogistik zusätzlich, auch von nicht registrierten Kunden erhoben
- IP-Adressen (Logfiles)
- Daten zum Endgerät
- Verwendeter Browser
- Time-Stamp: Datum und Uhrzeit Initial und wiederkehrend (update)
- Session ID
- Login Daten und Login Checks
- Schnittstelleninformationsmerkmal (APIToken)
- Umsätze (pro Jahr)
- Zahlungsverhalten
Externe Empfänger von Daten
Personenbezogene Daten erhalten nur diejenigen Stellen, Mitarbeiter sowie Erfüllungsgehilfen, die diese Daten zur Erfüllung der vertraglichen, gesetzlichen sowie zur Wahrung von berechtigten Interessen benötigen. Auftragsverarbeiter erhalten Daten nur, soweit sie es für ihre jeweilige Aufgabe erforderlich ist. Sämtliche Auftragsverarbeiter sind vertraglich zur Einhaltung sämtlicher datenschutzrechtlicher Bestimmungen verpflichtet.
Kategorien externer wirtschaftlicher Dienstleister
- Steuerberater und Wirtschaftsprüfer
- Rechtsanwälte
- Banken und Zahlungsdienstleister
- IT-Dienstleister
- Post- und Kurierdienstleister
- Paketdienste und Logistikunternehmen
- Lieferanten und Hersteller (bei Direktlieferung ab Werk)
- Druckereien
- Kommunikationsdienstleister
Alle externen Empfänger können in Bezug auf datenschutzrechtliche Fragestellungen einheitlich über den Verantwortlichen angeschrieben und erreicht werden.
Drittstaatstransfer
Folgende Daten werden im Zuge der Datenverarbeitung an Staaten außerhalb der EU übermittelt:
- Google Analytics
Dienstleistungen der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA („Google“)
USA (EU-US Privacy Shield)
Datenarten: anonymisierte IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung
Social Plugins
- Facebook
Facebook Inc., 1 Hacker Way, 94025 Menlo Park, USA
USA (EU-US Privacy Shield)
Datenarten: anonymisierte IP-Adresse, URLs, Cookies und Daten zu den Browsereinstellungen.
- Instagram
Instagram Inc., 1601 Willow Road, Menlo Park, CA 94025, USA
USA (EU-US Privacy Shield)
Datenarten: anonymisierte IP-Adresse, URLs, Cookies und Daten zu den Browsereinstellungen.
- Pinterest
Pinterest Inc., 808 Brannan St, San Francisco, CA 94103, USA
USA (EU-US Privacy Shield)
Datenarten: anonymisierte IP-Adresse, URLs, Cookies und Daten zu den Browsereinstellungen.
- Twitter
Twitter Inc., Headquater, 1355 Market Street, Suite 900, San Francisco, CA 94103, USA
USA (EU-US Privacy Shield)
Datenarten: anonymisierte IP-Adresse, URLs, Cookies und Daten zu den Browsereinstellungen.
- Google+
Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA
USA (EU-US Privacy Shield)
Datenarten: anonymisierte IP-Adresse, URLs, Cookies und Daten zu den Browsereinstellungen.
Speicherdauer
Elektronische Daten werden vom Verantwortlichen auf Grund der oben genannten Rechtsgrundlagen grundsätzlich bis 40 Monate nach Vertragsbeendigung (= 36 Monate mögliche vertragliche Schadenersatzansprüche + max. 4 Monate Zustelldauer einer Klage) personenbezogen verarbeitet und danach (jedenfalls der Personenbezug) gelöscht. Danach erfolgt eine personenbezogene Datenverarbeitung von Rechnungsdaten noch bis zum Ende der gesetzlichen Aufbewahrungspflicht (derzeit grundsätzlich 7 Jahre).
Die personenbezogenen Daten (insb. IP-Adresse) von (nicht registrierten) Websitebesuchern werden zum Zweck der IT-Sicherheit 7 Tage.
Rechte des Bewerbers
- Art 15 DSGVO „Auskunft“
Der Bewerber hat das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten von ihm verarbeitet werden. Art 16 DSGVO „Berichtigung“
Der Bewerber hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.Art 17 DSGVO „Löschung“
Der Bewerber hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, soferne die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.Art 18 DSGVO „Einschränkung“
Der Bewerber hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, soferne die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind.Art 21 DSGVO „Widerspruch“
Der Bewerber hat das Recht, jederzeit gegen die Verarbeitung seiner personenbezogenen Daten auf der Rechtsgrundlage des Art 6 Abs 1 lit e (Verarbeitung in öffentlichem Interesse) oder f (Verarbeitung aufgrund eines berechtigten Interesses) Widerspruch einzulegen.Art 20 DSGVO „Datenübertragbarkeit“
Der Bewerber hat das Recht, seine bereitgestellten personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
Beschwerderecht
Art 77 DSGVO
Jeder Bewerber hat das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
Aufsichtsbehörde
Österreichische Datenschutzbehörde
Wickenburggasse 8, A- 1080 Wien
Telefon: +43 1 531 15-202525
E-Mail: dsb@dsb.gv.at
Fußnoten
[1] Sollten in dieser Datenschutzinformation auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sein, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden.
[2] Kühling/Buchner DS-GVO 2017, Art 6 Rz 59
[3] Kühling/Buchner DS-GVO 2017, Art 6 Rz 59
[4] Direktwerbung ist die unmittelbare Ansprache der betroffenen Person zu Werbezwecken, etwa zur Zusendung von Briefen oder Prospekten, durch Telefonanrufe oder elektronische Nachrichten.
[5] Datenschutzgrundverordnung, abrufbar unter http://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679