Datenschutz für die Mitarbeitenden-App

Geltungsbereich

Diese Datenschutzerklärung klärt Nutzer über die Art, den Umfang und Zwecke der Erhebung und Verwendung personenbezogener Daten im Rahmen der von NEOCOSMO GmbH, Science Park 2, 66123 Saarbrücken, +49 681 3096 4200 (nachfolgend „NEOCOSMO“, „wir“ oder „uns“) zur Verfügung gestellten Mitarbeiter-Apps (nachfolgend „App“) auf.

Abhängig vom jeweiligen Einsatz der App verarbeitet NEOCOSMO personenbezogene Daten entweder als Verantwortlicher im Sinne von Art. 4 Nr. 7 DSGVO oder – wenn die App durch ein Unternehmen für eigene Zwecke bereitgestellt wird – als Auftragsverarbeiter im Sinne von Art. 28 DSGVO.

Rollenverteilung nach der DSGVO (Auftragsverarbeitung)

Wird die App Nutzern im Rahmen eines Beschäftigungsverhältnisses oder durch ein Unternehmen zur Verfügung gestellt, ist das jeweilige Unternehmen der datenschutzrechtlich Verantwortliche im Sinne von Art. 4 Nr. 7 DSGVO.

In diesen Fällen verarbeitet NEOCOSMO personenbezogene Daten ausschließlich als Auftragsverarbeiter im Sinne von Art. 28 DSGVO und nur auf dokumentierte Weisung des jeweiligen Verantwortlichen.

Die Verarbeitung der Daten erfolgt ausschließlich zum Zweck der Bereitstellung und technischen Durchführung der App sowie der damit verbundenen Funktionen.

Anfragen betroffener Personen (z. B. Auskunft, Berichtigung oder Löschung) sind grundsätzlich an den jeweiligen Verantwortlichen (z. B. Arbeitgeber) zu richten. NEOCOSMO unterstützt den Verantwortlichen im Rahmen der gesetzlichen Vorgaben bei der Erfüllung der Betroffenenrechte.

1. Verantwortlicher

Verantwortlicher im Sinne der DSGVO und anderen Bestimmungen mit datenschutzrechtlichem Charakter ist die:

NEOCOSMO GmbH
Science Park 2
66123 Saarbrücken
Tel.: +49 681 3096 4200
eMail: welcome@neocosmo.de

2. Datenschutzbeauftragter

Bei Fragen zu dieser Datenschutzerklärung wenden Sie sich bitte an unseren Datenschutzbeauftragten:

NEOCOSMO GmbH
z. Hd.: Datenschutzbeauftragter
Science Park 2
66123 Saarbrücken
E-Mail: datenschutz@neocosmo.de

3. Allgemeines zur App

Die App richtet sich an Mitarbeitende von Unternehmen und dient der internen Kommunikation und Zusammenarbeit.
Sie wird von NEOCOSMO entwickelt und im Apple App Store sowie im Google Play Store veröffentlicht.

Die Nutzung der App ist teilweise ohne Login (öffentlicher Bereich) möglich. Für den Zugriff auf personalisierte Inhalte ist eine Anmeldung erforderlich.

4. Verarbeitung personenbezogener Daten

4.1 Nutzung ohne Login (öffentlicher Bereich)

Bei der Nutzung des öffentlichen Bereichs der App werden keine personenbezogenen Daten erhoben, soweit dies nicht technisch erforderlich ist (z. B. Server-Logfiles, siehe Abschnitt 9).

4.2 Registrierung und Login

Für den Zugriff auf personalisierte Inhalte der App ist eine Anmeldung erforderlich.
Hierbei werden folgende personenbezogene Daten verarbeitet:

• Nutzerkennung (vom jeweiligen Unternehmen bereitgestellt)
• Passwort
• Authentifizierungsdaten in Form von
• Access Tokens
• Refresh Tokens
• ID Tokens

Die Verarbeitung erfolgt ausschließlich zum Zweck der Authentifizierung und Autorisierung innerhalb der App.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags bzw. Durchführung vorvertraglicher Maßnahmen).

4.3 Login über Drittanbieter (Google oder Microsoft)

Die App bietet alternativ die Möglichkeit, sich über ein bestehendes Google-Konto oder Microsoft-Konto anzumelden.
Im Rahmen dieses Anmeldeverfahrens werden – abhängig vom gewählten Anbieter – folgende personenbezogene Daten an den Verantwortlichen übermittelt:

• E-Mail-Adresse
• eindeutige Nutzer-ID des Anbieters
• ggf. Name

Die Authentifizierung erfolgt über die Systeme des jeweiligen Drittanbieters. Der Verantwortliche erhält keinen Zugriff auf die Zugangsdaten (z. B. Passwort) des jeweiligen Kontos.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Erfüllung eines Vertrags bzw. Durchführung vorvertraglicher Maßnahmen).

Weitere Informationen zur Datenverarbeitung durch die jeweiligen Anbieter finden Sie in deren Datenschutzerklärungen:

Google: https://policies.google.com/privacy

Microsoft: https://privacy.microsoft.com/de-de/privacystatement

4.4 Profilbild (Kamera / Fotos)

Die App bietet Nutzern die Möglichkeit, freiwillig ein persönliches Profilbild zu hinterlegen.

Zu diesem Zweck kann – nach vorheriger ausdrücklicher Zustimmung – auf Funktionen des Endgeräts zugegriffen werden, insbesondere auf die Kamera sowie auf Fotos und Medien.

Der Zugriff erfolgt ausschließlich zur Auswahl bzw. Aufnahme eines Profilbildes. Eine weitergehende Nutzung der hierbei erhobenen Daten findet nicht statt.

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Die Einwilligung kann jederzeit über die Einstellungen des jeweiligen Endgeräts widerrufen werden.

4.5 PushBenachrichtigungen

Die App kann Push-Benachrichtigungen versenden, um Nutzer über Neuigkeiten in der App zu informieren.

Hierfür wird ein Push-Token verarbeitet, das dem jeweiligen Endgerät zugeordnet ist. Die Zustellung der Nachrichten erfolgt über die entsprechenden Dienste der Plattform:

• Apple Push Notification Service (APNs)
• Firebase Cloud Messaging (Google)

Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).

Die Einwilligung für Push-Benachrichtigungen kann jederzeit über die Einstellungen des Endgeräts widerrufen oder deaktiviert werden. Eine weitergehende Nutzung der dabei erhobenen Daten erfolgt nicht.

Weitere Informationen zur Datenverarbeitung durch die jeweiligen Anbieter finden Sie in deren Datenschutzerklärungen:

• Apple: https://www.apple.com/de/legal/privacy/
• Google / Firebase: https://policies.google.com/privacy

4.6 Drittanbieter und externe Inhalte

Die App kann Inhalte und Funktionen externer Dienste einbinden, bei denen personenbezogene Daten an die jeweiligen Anbieter übertragen werden. Die Verarbeitung erfolgt jeweils ausschließlich zum Zweck der Bereitstellung der jeweiligen Funktionalität.

Folgende Dienste werden aktuell verwendet:

YouTube
Die App kann Inhalte der Plattform YouTube einbinden, die von der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland bereitgestellt werden. Beim Abspielen der Videos können personenbezogene Daten, wie z. B. die IP-Adresse, an Google übermittelt werden.
Weitere Informationen und Opt-Out-Möglichkeiten:

Datenschutzerklärung: https://www.google.com/policies/privacy/

Opt-Out / Werbeeinstellungen: https://adssettings.google.com/authenticated

Vimeo
Eingebundene Vimeo-Videos werden von der Vimeo Inc., 555 West 18th Street, New York, NY 10011, USA bereitgestellt. Beim Abspielen können personenbezogene Daten (z. B. IP-Adresse) an Vimeo übermittelt werden.
Datenschutzerklärung: https://vimeo.com/privacy

Facebook Social Plugins
Sofern eingebunden, können personenbezogene Daten an Facebook Ireland Limited, 4 Grand Canal Square, Dublin 2, Irland, übertragen werden.
Datenschutzerklärung: https://www.facebook.com/privacy/explanation

Google Maps
Für die Anzeige von Karteninhalten werden Dienste von Google LLC genutzt. Dabei können Standortdaten oder IP-Adressen an Google übermittelt werden.
Datenschutzerklärung: https://policies.google.com/privacy

Matomo / Web-Analytics
Innerhalb der App werden Nutzungsdaten über Matomo anonymisiert analysiert, um die Funktionsweise der App zu verbessern.
Datenschutzerklärung: https://matomo.org/privacy-policy

Newsletter und Kommentarabonnements
Wenn die App Newsletter oder Kommentarabos ermöglicht, werden die hierfür erforderlichen personenbezogenen Daten (E-Mail-Adresse, Name) ausschließlich zum Versand und der Verwaltung dieser Dienste verarbeitet.

Kommentare / Meldung rechtswidriger Inhalte
Kommentare können gemeldet werden. Es ist Nutzerinnen und Nutzern untersagt, Inhalte zu verbreiten, die gegen Gesetze oder Vorschriften zum Jugend- und Kinderschutz verstoßen. Verdächtige oder rechtswidrige Inhalte – insbesondere im Zusammenhang mit Kindesmissbrauch oder -ausbeutung – können über die in dieser Datenschutzerklärung angegebene Kontaktadresse gemeldet werden.

Rechtsgrundlage für die Verarbeitung bei Drittanbietern:

• Art. 6 Abs. 1 lit. a DSGVO (Einwilligung), soweit erforderlich
• Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse), z. B. für Social Plugins oder Web-Analytics

5. Datenverarbeitung durch App Stores

Beim Download und bei der Installation der App werden personenbezogene Daten ausschließlich durch den jeweiligen App-Store-Betreiber verarbeitet. Dabei handelt es sich um die Daten, mit denen der Nutzer beim jeweiligen App Store (z. B. Apple ID oder Google-Konto) registriert ist.

Zu den dabei verarbeiteten Daten können insbesondere gehören:

• Nutzername
• E-Mail-Adresse
• Kundennummer
• Gerätekennungen

Diese Datenverarbeitung erfolgt unabhängig von der Nutzung der App. Der Verantwortliche erhält keinen Zugriff auf diese Daten, und sie werden nicht mit den Anmeldedaten oder Nutzerkonten innerhalb der App verknüpft.

Der Verantwortliche hat keinen Einfluss auf Art, Umfang und Zwecke der durch die App-Store-Betreiber vorgenommenen Datenverarbeitung.

Weitere Informationen zur Datenverarbeitung durch die jeweiligen Anbieter finden Sie in deren Datenschutzerklärungen:

• Apple App Store: https://www.apple.com/de/privacy/
• Google Play Store: https://policies.google.com/privacy

6. Server-Logfiles

Bei der Nutzung der App werden aus technischen Gründen automatisch Informationen in sogenannten Server-Logfiles erfasst.

Hierzu gehören insbesondere:

• URL der abgerufenen Inhalte
• Datum und Uhrzeit des Zugriffs
• übertragene Datenmenge
• Statuscode der HTTP-Antwort
• Betriebssystem des Endgeräts und verwendeter Browser
• Referrer (sofern technisch übermittelt)
• IP-Adresse

Die Verarbeitung dieser Daten erfolgt aus Sicherheitsgründen, insbesondere zur Gewährleistung des technischen Betriebs sowie zur Aufklärung von Missbrauchs- oder Betrugshandlungen.

Die Speicherung der Logfile-Informationen erfolgt für die Dauer von maximal 14 Tagen. Eine darüberhinausgehende Speicherung findet nur statt, sofern dies zur Aufklärung eines konkreten Sicherheitsvorfalls erforderlich ist.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an der Sicherheit und Stabilität der Systeme).

7. Weitergabe von Daten

Eine Weitergabe personenbezogener Daten an Dritte erfolgt nur, sofern und soweit dies erforderlich ist, zur technischen Bereitstellung und zum Betrieb der App, aufgrund einer gesetzlichen Verpflichtung, oder wenn eine entsprechende Einwilligung der betroffenen Person vorliegt.

Eine darüberhinausgehende Übermittlung personenbezogener Daten an Dritte findet nicht statt.

8. Datensicherheit

Der Verantwortliche trifft geeignete technische und organisatorische Maßnahmen, um personenbezogene Daten vor Verlust, unbefugtem Zugriff, Missbrauch, Veränderung oder unbefugter Offenlegung zu schützen.

Hierzu zählen unter anderem:

• Verschlüsselte Übertragung von Daten zwischen App und Server (z. B. über HTTPS)
• Sicherer Umgang mit Authentifizierungsdaten (Tokens, Passwörter)
• Zugriffskontrollen und Berechtigungsmanagement
• Regelmäßige Sicherung und Pflege der Serverinfrastruktur

Die Sicherheitsmaßnahmen werden regelmäßig überprüft und entsprechend der technologischen Entwicklung angepasst, um ein angemessenes Schutzniveau zu gewährleisten.

9. Rechte der betroffenen Personen

Betroffene Personen haben im Rahmen der gesetzlichen Voraussetzungen folgende Rechte:

• Recht auf Auskunft (Art. 15 DSGVO),
• Recht auf Berichtigung (Art. 16 DSGVO),
• Recht auf Löschung (Art. 17 DSGVO),
• Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO),
• Recht auf Datenübertragbarkeit (Art. 20 DSGVO),
• Recht auf Widerspruch gegen die Verarbeitung (Art. 21 DSGVO),
• Recht auf Widerruf erteilter Einwilligungen mit Wirkung für die Zukunft (Art. 7 Abs. 3 DSGVO).

Anfragen zur Ausübung der Betroffenenrechte können jederzeit über die in dieser Datenschutzerklärung angegebenen Kontaktdaten an den Verantwortlichen gerichtet werden

10. Kinderschutz

Die App richtet sich ausschließlich an Erwachsene und Mitarbeitende von Unternehmen. Personen unter 16 Jahren sollten die App nicht eigenständig nutzen.

Es werden keine personenbezogenen Daten von Kindern bewusst erhoben oder verarbeitet. Sollte bekannt werden, dass Daten von einem Kind ohne Einwilligung der Sorgeberechtigten erhoben wurden, werden diese Daten umgehend gelöscht.

11. Beschwerderecht

Es besteht das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren.

Zuständig ist in der Regel die Aufsichtsbehörde des Bundeslandes, in dem der Verantwortliche seinen Sitz hat.

12. Änderungen dieser Datenschutzerklärung

Diese Datenschutzerklärung kann angepasst werden, wenn rechtliche oder technische Änderungen dies erforderlich machen.