Datenschutzerklärung für nymea-Produkte Die Vertraulichkeit und Sicherheit der Verarbeitung personenbezogener Daten ist uns sehr wichtig. Wir haben unsere Prozesse überprüft und sichergestellt, dass diese sich im Einklang mit der Datenschutzgrundverordnung (DS-GVO) befinden. Mit dieser Datenschutzerklärung kommen wir unserer Informationspflicht bei Erhebung von personenbezogenen Daten nach den Artikeln 13, 14 DS-GVO nach. Diese Datenschutzerklärung befindet sich auf dem Stand von 28.08.2018 und kann jederzeit angepasst werden. Über Änderungen der Datenschutzerklärung informieren wir auf unserer Webseite https://www.nymea.io/privacy-statement/de/nymea_privacy_de.txt. Name und Kontaktdaten des Verantwortlichen sowie ggf. seines Vertreters nymea GmbH Gutheil-Schoder-Gasse 10 1100 Wien Österreich info@nymea.io www.nymea.io Kontaktdaten des Datenschutzbeauftragten Unseren Datenschutzbeauftragten können Sie über die E-Mail-Adresse privacy@nymea.io erreichen. Grundsätzliche Beschreibung des Datenaustauschs bei nymea-Produkten. Privatsphäre ist unser höchstes Gut und wird bei nymea hochgehalten. Der Großteil der Software ist als Open Source verfügbar, die zugrundeliegende Funktionsweise eines nymea Produkts kann demnach von jedem nachvollzogen werden. Der Code befindet sich zur Einsicht auf https://www.github.com/nymea. Grundsätzlich werden bei nymea-Produkten keine Daten an Cloud-Server übertragen. nymea-Produkte sind edge-basierte Produkte, die Funktionalität befindet sich somit auf den nymea-Produkt selbst. Diverse Endanwender-Applikationen greifen direkt auf diese Edge-Komponenten zu. Dies kann über direkt im lokalen Netzwerk oder über einen Tunnel-Proxy Dienst geschehen. In keinem Fall werden Daten gespeichert, außer den Authentifizierungs-token und diverser UUIDs, die für die Einrichtung des Kommunikationskanals vonnöten sind (handshake). Standortdaten und Zugriff auf Hintergrund-Standortinformationen Die nymea Endbenutzer-Anwendungen (nymea:ux) benötigen Zugriff zu Bluetooth und zum lokalen Netzwerk, um korrekt zu funktionieren. Bei den meisten Betriebssystemen muss zusätzlich die Erlaubnis erteilt werden, die Standortdaten von Ihrem Endgerät zu verwenden, um diese Kommunikationsschnittstellen verwenden zu können. Der tatsächliche Standort wird NICHT mit uns oder Dritten geteilt und wird lokal auf Ihrem Endgerät gespeichert. Zwecke, für die personenbezogene Daten verarbeitet werden sollen, sowie die Rechtsgrundlage für die Verarbeitung Im Zusammenhang mit der Nutzung Ihres Maveo-Produkts werden personenbezogene Daten verarbeitet. Im Einzelnen: Für den ordnungsgemäßen Betrieb Ihres nymea-Produkts ist die Nutzung einer Endbenutzer-Anwendung (nymea:ux) erforderlich, die auf einem beliebigen Endgerät (Smartphone, Tablet, PC, etc) installiert werden kann. Zwischen der App und dem nymea-Produkt werden insbesondere Zugangsinformationen, konkret Bluetooth- und Wifi-Verbindungsinformationen ausgetauscht. Eine Übermittlung dieser Daten an uns findet nicht statt. Der Austausch dieser Informationen zwischen den Geräten ist für die bestimmungsgemäße Verwendung Ihres nymea-Produkts technisch notwendig. Soweit hierin eine Verarbeitung personenbezogener Daten liegt, ist diese für die Erfüllung eines Vertrags, dessen Vertragspartner die betroffene Person ist, erforderlich. Rechtsgrundlage ist Art.: 6 Abs.: 1 Buchst. b) DS-GVO. Zum Zwecke von Produktupdates OTA werden personenbezogene Daten verarbeitet, nämlich insbesondere IP-Adressen, MAC-Adressen, CPU Nummer und System-UUIDs, die zur eindeutigen Identifizierung im Update-Management-System (dzt Mender) abgelegt werden. Diese Daten werden an einen von nymea gehosteten Update-Server zum Zwecke der Durchführung von Updates gesandt und synchronisiert. Grundlage für die Datenverarbeitung ist Art.: 6 Abs.: 1 Buchst. a) DS-GVO. Darüber hinaus erheben wir personenbezogene Daten, wenn Sie durch eine nymea-Endanwenderapp einen Supportfall anstoßen. Hierbei werden Vorname, Nachname, E-Mail Adresse, CPU-ID sowie Problemstellung an nymea übermittelt. Sie werden explizit gefragt, ob Sie einer Fernwartung zustimmen. Falls Sie der Fernartung zustimmen, können unsere Servicetechniker den Status Ihres nymea-Produkts mit der Hilfe eines remote Servicezugang (Fernwartung) einsehen. Die ausgelesenen Informationen enthalten u.a. CPU Nummer und andere UUIDs, die Ihnen zugeordnet werden können. Diese Informationen werden gemeinsam mit Ihre Hardware betreffenden Maschinendaten auf einem unserer Server gespeichert. Teil der Wartungsdienstleistung durch einen Servicetechniker können Netzwerk-Scans des lokalen Netzwerk sein, um andere Geräte zu finden bzw. die Ursache zu finden, wenn die Kommunikation zwischen nymea-Produkt und Drittgeräten fehlerhaft ist. In diesem Fall werden keine Daten zur Speicherung übertragen, sondern mithilfe einer remote Konsole (remote Terminal) direkt am nymea-Produkt gearbeitet. Lediglich zum Zwecke der Dokumentation wird der Servicetechniker das Problem formulieren und in einem Ticket-System zur internen weiteren Bearbeitung ablegen. Diese Daten werden innerhalb von drei Monaten nach erfolgreicher Problemlösung automatisch gelöscht. Zweck dieser Speicherung ist die ordnungsgemäße Erbringung der Wartungsdienstleistungen sowie die Dokumentation der ordnungsgemäßen Leistungserbringung und die Fehleranalyse. Rechtsgrundlage hierfür ist Art.: 6 Abs.: 1 Buchst. b) sowie Buchst. f) DS-GVO. Wenn die Verarbeitung auf Art.: 6 Abs.: 1 Buchst. f) DS-GVO beruht, die berechtigten Interessen, die verfolgt werden Wir verfolgen mit der oben dargestellten Datenverarbeitung insbesondere das berechtigte Interesse einer ordnungsgemäßen Dokumentation der Erbringung der vertraglichen Leistungen. Empfänger oder Kategorien von Empfängern der personenbezogenen Daten Wir geben die personenbezogenen Daten lediglich weiter an: Servicebetriebe zum Zwecke der Erbringung von Wartungsdienstleistungen auf Ihre Anforderung solcher Dienstleistungen hin; Adress- und Vertragsdaten an zur Berufsverschwiegenheit verpflichtete Steuerberater und Rechtsanwälte zum Zwecke der Erfüllung unserer steuerlichen Verpflichtungen sowie, falls nötig, zur Durchsetzung oder Verteidigung unserer Rechte. Soweit eine Datenweitergabe zur Durchsetzung oder Verteidigung von Rechten stattfindet, beruht die Weitergabe auf berechtigten Interessen im Sinne des Art.: 6 Abs.: 1 Buchst.: f) DS-GVO. Gegebenenfalls die Absicht, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln Wir übermitteln keine Daten an ein Drittland oder eine internationale Organisation. Die Dauer, für die die personenbezogenen Daten gespeichert werden oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer Die genannten personenbezogenen Daten speichern wir, bis der Zweck ihrer Speicherung entfallen ist. Im Falle der Speicherung von Adressdaten und weiteren personenbezogenen Daten zum Zwecke der Leistungserbringung löschen wir diese Daten, wenn sie zur Vertragserbringung nicht mehr erforderlich sind. Dies ist insbesondere der Fall, wenn ein Vertragsverhältnis vollständig abgewickelt wurde und keine Gewährleistungsrechte mehr bestehen können. Angesichts der gesetzlichen Gewährleistungsfrist von 2 Jahren ab Abnahme der Leistung löschen wir die Daten nach spätestens 3 Jahren nach dem Ende des Vertragsverhältnisses. Ihre Rechte Sie haben die folgenden Rechte: Auskunftsrecht Sie können von uns eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden. Liegt eine solche Verarbeitung vor, können Sie von uns über folgende Informationen Auskunft verlangen: die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden; die Kategorien von personenbezogenen Daten, welche verarbeitet werden; die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden oder noch offengelegt werden; die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer; das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch uns oder eines Widerspruchsrechts gegen diese Verarbeitung; das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde; alle verfügbaren Informationen über die Herkunft der Daten, wenn die personenbezogenen Daten nicht bei Ihnen erhoben werden; das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art. 22 Abs. 1 und 4 DS-GVO und :€“ zumindest in diesen Fällen :€“ aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für Sie. Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DS-GVO im Zusammenhang mit der Übermittlung unterrichtet zu werden. Dieses Auskunftsrecht kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Recht auf Berichtigung Sie haben ein Recht auf Berichtigung und/oder Vervollständigung, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder unvollständig sind. Ihr Recht auf Berichtigung kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Recht auf Einschränkung der Verarbeitung Unter den folgenden Voraussetzungen können Sie die Einschränkung der Verarbeitung der Sie betreffenden personenbezogenen Daten verlangen: wenn Sie die Richtigkeit der Sie betreffenden personenbezogenen Daten bestreiten, für eine Dauer, die es uns ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen; wenn die Verarbeitung unrechtmäßig ist und Sie die Löschung der personenbezogenen Daten ablehnen und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangen; wir die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, Sie diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen, oder wenn Sie Widerspruch gegen die Verarbeitung gemäß Art. 21 Abs. 1 DS-GVO eingelegt haben und noch nicht feststeht, ob unsere berechtigten Gründe gegenüber Ihren Gründen überwiegen. Wurde die Verarbeitung der Sie betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten :€“ von ihrer Speicherung abgesehen :€“ nur mit Ihrer Einwilligung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Wurde die Verarbeitung eingeschränkt, werden wir Sie unterrichten, bevor die Einschränkung aufgehoben wird. Ihr Recht auf Einschränkung der Verarbeitung kann insoweit beschränkt werden, als es voraussichtlich die Verwirklichung der Forschungs- oder Statistikzwecke unmöglich macht oder ernsthaft beeinträchtigt und die Beschränkung für die Erfüllung der Forschungs- oder Statistikzwecke notwendig ist. Recht auf Löschung Sie können von uns verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, sofern einer der folgenden Gründe zutrifft: Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig. Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 Buchst. a) oder Art. 9 Abs. 2 Buchst. a) DS-GVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung. Sie legen gem. Art. 21 Abs. 1 DS-GVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DS-GVO Widerspruch gegen die Verarbeitung ein. Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet. Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem wir unterliegen. Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DS-GVO erhoben. Sollten wir die Sie betreffenden personenbezogenen Daten öffentlich gemacht haben, und sind wir zu deren Löschung verpflichtet, so treffen wir unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben. Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist. zur Ausübung des Rechts auf freie Meinungsäußerung und Information; zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem wir unterliegen, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde; aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 Buchst. h) und i) sowie Art. 9 Abs. 3 DS-GVO; für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1: DS-GVO, soweit das Recht auf Löschung voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Recht auf Unterrichtung Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber uns geltend gemacht, sind wir verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Ihnen steht das Recht zu, über diese Empfänger unterrichtet zu werden. Recht auf Datenübertragbarkeit Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 Buchst. a) DS-GVO oder Art. 9 Abs. 2 Buchst. a) DS-GVO oder auf einem Vertrag gem. Art. 6 Abs. 1 Buchst. b) DS-GVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt von uns einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden. Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die uns übertragen wurde. Widerspruchsrecht Sie haben das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 Buchst. e) oder f) DS-GVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die Sie betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die Sie betreffenden personenbezogenen Daten nicht mehr hierfür verarbeitet. Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft :€“ ungeachtet der Richtlinie 2002/58/EG :€“ Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden. Sie haben auch das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, bei der Verarbeitung Sie betreffender personenbezogener Daten, die zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken gem. Art. 89 Abs. 1 DS-GVO erfolgt, dieser zu widersprechen, es sei denn, die Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich. Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Automatisierte Entscheidung im Einzelfall einschließlich Profiling Sie haben das Recht, nicht einer ausschließlich auf einer automatisierten Verarbeitung :€“ einschließlich Profiling :€“ beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht, wenn die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und uns erforderlich ist, aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen wir unterliegen, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten oder mit Ihrer ausdrücklichen Einwilligung erfolgt. Allerdings dürfen diese Entscheidungen nicht auf besonderen Kategorien personenbezogener Daten nach Art. 9 Abs. 1 DS-GVO beruhen, sofern nicht Art. 9 Abs. 2 Buchst. a) oder g) DS-GVO gilt und angemessene Maßnahmen zum Schutz der Rechte und Freiheiten sowie Ihrer berechtigten Interessen getroffen wurden. Hinsichtlich der oben genannten Fälle treffen wir angemessene Maßnahmen, um Ihre Rechte und Freiheiten sowie Ihre berechtigten Interessen zu wahren, wozu mindestens das Recht auf Erwirkung des Eingreifens einer Person bei uns, auf Darlegung des eigenen Standpunkts und auf Anfechtung der Entscheidung gehört. Recht auf Beschwerde bei einer Aufsichtsbehörde Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DS-GVO verstößt. Mitteilung, ob die Bereitstellung der personenbezogenen Daten gesetzlich oder vertraglich vorgeschrieben oder für einen Vertragsabschluss erforderlich ist, ob die betroffene Person verpflichtet ist, die personenbezogenen Daten bereitzustellen, und welche mögliche Folgen die Nichtbereitstellung hätte.