Version 1.3 vom 01.07.2022
Datenschutz bei VREEDA
Lieber Kunde, vielen Dank für die Nutzung der VREEDA Services und dein Interesse an unseren Datenschutzinformationen. Damit du alle Vorteile, die dir deine smarten Geräte bieten auch wirklich nutzen kannst, müssen wir einige Daten von dir und deinen Geräten verarbeiten. Selbstverständlich betreiben wir unsere Aktivitäten in der App und in den Backendsystemen unserer Internet of Things (IoT)-Plattform in Übereinstimmung mit den Gesetzen zum Datenschutz und zur Datensicherheit.
Dabei ist es für uns von größter Wichtigkeit, dass du dich bei der Nutzung unserer Produkte wohl fühlst und immer darüber bestimmen kannst, welche Daten du teilen möchtest - denn es sind ausschließlich deine Daten. Unsere Philosophie ist, dass alle Daten smarter, digitaler Produkte immer transparent und im Sinne des Nutzers verwendet werden sollten. Über größtmögliche Transparenz möchten wir dein Vertrauen gewinnen und dir ermöglichen, das für dich persönlich Beste aus deinen smarten Produkten rauszuholen. Denn wir sind davon überzeugt, dass Datenschutz und innovative digitale Produkte und Services kein Widerspruch sein müssen. Daher sehen wir den Datenschutz und die transparente Nutzung der Daten zu deinem Vorteil als ein VREEDA-Qualitätsmerkmal. Du kannst dich auf uns verlassen!
Mit der folgenden Datenschutzerklärung möchten wir dich ausführlich darüber informieren, welche personenbezogenen Daten wir von dir gegebenenfalls erheben und wie wir damit konkret umgehen.
Diese Datenschutzerklärung gilt ergänzend zu den allgemeinen Datenschutzbestimmungen für Apps, die du auf den bereitstellenden App-Plattformen (Apple iOS App-Store, Google PlayStore) einsehen kannst.
Um dir alles genau erklären zu können, benötigen wir zunächst ein paar Begriffsdefinitionen.
I. Begriffsdefinitionen
· Personenbezogene Daten: Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen.
· Plattform: Überbegriff für die zusammengefassten IoT-Systeme der VREEDA GmbH (im Weiteren sprechen wir der Einfachheit halber nur noch von “VREEDA”), insbesondere die App, die Endgeräte sowie das Backendsystem. Über die Plattform werden die IoT-Dienste bereitgestellt.
· App: Alle von VREEDA entwickelten und betriebenen Apps, die Benutzern die Installation, Konfiguration, Steuerung und Überwachung von IoT-Endgeräten und die Nutzung von Services ermöglicht und sich mit dem Backendsystem der Plattform verbindet.
· IoT-Geräte/-Endgeräte: Von Hardware-Produzenten hergestellte Haushaltsgeräte oder Produkte, die durch eine zusätzlich integrierte Komponente Daten erfassen und verbunden mit einem Drahtlos-Netzwerk diese an die Plattform übertragen können.
· Plattform-Partner: Partner von VREEDA, die ihre Komponenten oder Services in die IoT-Dienste von VREEDA integrieren .
· Dienstleister: Sorgfältig ausgewählte und beauftragte Dienstleister bzw. Service-Partner, die Aufgaben und Serviceleistungen für VREEDA erbringen (bspw. Client-Entwickler).
· Nutzer: Der jeweilige Nutzer der IoT-Dienste von VREEDA.
II. Name und Anschrift des für die Verarbeitung Verantwortlichen
Verantwortlicher im Sinne der EU-DSGVO, sonstiger in den Mitgliedstaaten der Europäischen Union geltender Datenschutzgesetze und anderer Bestimmungen mit datenschutzrechtlichem Charakter ist die:
VREEDA GmbH
Alfredstr. 81
45130 Essen
Deutschland
Du erreichst uns per E-Mail unter datenschutz@vreeda.com oder über unsere Website www.vreeda.de / www.vreeda.com
III. Verarbeitung personenbezogener Daten
Grundsätzlich gilt für VREEDA, dass der Schutz deiner persönlichen Daten für uns von höchster Bedeutung ist. Daher sammeln wir ohne dein Wissen über unsere Plattform und über in den IoT-Diensten angeschlossene Geräte keinerlei personenbezogene Daten. Sämtliche personenbezogenen Daten, die wir von dir zum Start der Nutzung als notwendig erfragen, sind für die Bereitstellung der VREEDA-Plattform und der darauf verfügbaren Dienste auch erforderlich. Bezüglich weitergehender Verarbeitungen mit dem Zweck dir basierend auf deiner individuellen Nutzung der VREEDA-Plattformdienste für dich interessante Angebote zu unterbreiten, fragen wir nach deinem expliziten Einverständnis. Als Rechtsgrundlage für die Verarbeitung dienen uns dabei je konkreter Verarbeitung und Datenkategorie Art. 6 Abs. 1 lit. b DSGVO (Vertragsanbahnung, Vertragserfüllung) oder Art. 6 Abs. 1 lit. a DSGVO (Einwilligung).
Deine von dir direkt bereitgestellten personenbezogenen Daten verwenden wir im Allgemeinen, um deine Anfrage zu beantworten, deinen Auftrag zu bearbeiten, dir die Plattformdienste von VREEDA bereitzustellen, Systemwartungen und Konfigurationen durchzuführen oder deinen Zugang zu speziellen Informationen oder Angeboten zu verschaffen (bspw. per E-Mail-Newsletter).
VREEDA lässt ggf. einzelne Aufgaben und Serviceleistungen durch sorgfältig ausgewählte und beauftragte Dienstleister und Plattform-Partner ausführen, die ihren Sitz streng bevorzugt innerhalb der EU bzw. des EWR haben (da dies nun mal der aus Datenschutzsicht optimale Verarbeitungsraum ist), und nur insoweit es für die Durchführung des Vertrages zur Erbringung unserer Services notwendig ist bzw. für die Weiterentwicklung und Wartung der IoT-Dienste von VREEDA. Sollte es einmal wirklich unumgänglich sein, deine Daten mit einem Partner oder Dienstleister auszutauschen, der außerhalb der EU bzw. des EWR beheimatet ist, so tun wir dies so datensparsam wie möglich und ausschließlich mit größtmöglicher vertraglicher Absicherung.
Im Rahmen der Beziehungen zu unseren Partnern und Dienstleistern werden den gesetzlichen Anforderungen entsprechende Datenschutzvereinbarungen – z.B. Auftragsverarbeitungsverträge gem. Art. 28 EU-DSGVO - zur Herstellung eines angemessenen Datenschutzniveaus mit diesen Vertragspartnern bindend geschlossen, sowie angemessene Datenschutzgarantien gem. Art. 44-46 EU-DSGVO für den Fall vereinbart, dass personenbezogene Daten in Drittländer außerhalb der EU bzw. des EWR übertragen werden müssen.
Eine Weitergabe von bestimmten Daten an unsere Plattform-Partner zur Sicherstellung einer für einen unserer Dienste erforderlichen Funktion – zum Beispiel die Bestätigung einer bestimmten Nutzung eines Endgerätes um beim Plattform-Partner eine spezielle Dienstleistung nutzen zu können – erfolgt auf Basis des Art. 6 Abs. 1 lit. b EU-DSGVO (Vertragserfüllung). Eine darüber hinausgehende Weitergabe deiner Daten an unsere Partner – zum Beispiel zu werblichen Zwecken oder für sonstige nicht zur Vertragserfüllung erforderliche Zwecke – erfolgt ausschließlich, wenn du dieser Weitergabe ausdrücklich zugestimmt hast. Wir weisen dich an entsprechender Stelle darauf hin und bitten dich dann um eine explizite, jederzeit für die Zukunft widerrufliche Einwilligung. Dadurch werden die Anforderungen des Art. 7 EU-DSGVO und des Art. 6 Abs. 1 lit. a bzgl. einer konformen Einwilligung als Rechtsgrundlage sichergestellt.
Nicht mehr benötigte personenbezogene Daten werden unverzüglich gelöscht, wenn kein Geschäftszweck mehr vorliegt und keine anderweitige Rechtsgrundlage gem. Art. 6 Abs. 1 lit. c DSGVO – z.B. gesetzliche Aufbewahrungspflichten – besteht, um dem Prinzip der Datensparsamkeit gem. Art. 5 EU-DSGVO zu entsprechen.
Bisweilen kann es sinnvoll sein, personenbezogene Daten von Kunden wie dir zu anonymisieren, um sie danach für statistische Zwecke und Systemoptimierungen im Detail analysieren zu können. Diese Daten sind dann nicht mehr zu dir zurückverfolgbar. Da auch diese Anonymisierung eine Verarbeitung ist, benötigen wir dafür ebenfalls eine Rechtsgrundlage, in diesem Fall ist das unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f EU-DSGVO.
Nicht mehr benötigte personenbezogene Daten werden unverzüglich gelöscht, wenn kein Geschäftszweck mehr vorliegt und keine anderweitige Rechtsgrundlage gem. Art. 6 Abs. 1 lit. c DSGVO – z.B. gesetzliche Aufbewahrungspflichten – besteht, um dem Prinzip der Datensparsamkeit gem. Art. 5 EU-DSGVO zu entsprechen.
IV. Verarbeitung von Zugriffsdaten
Bei jeder Interaktion mit unserer App und den Geräten werden Zugriffs- und Systemdaten übertragen und ggf. gespeichert. Ein Datensatz kann folgende Inhalte enthalten und ist auf seinem Weg durch das Internet grundsätzlich vollständig verschlüsselt:
· ID und Zugriffstoken deines Benutzeraccounts
· IP-Adresse deines Endgerätes (Smartphone)
· ID deiner IoT-Geräte
· MAC-Adresse deiner IoT-Geräte
· Status deiner IoT-Geräte (an/aus, Farbe, Szenen, online-Satus, Zeitpunkt letzter Änderung etc.)
· Konfiguration deiner IoT-Geräte (Seriennummer, Name, Zeitprofile, öffentlicher Fingerabdruck des Zertifikats, Hardware-/ Firmware-Version)
· Datum und Uhrzeit der Interaktion
· Version der App
· Betriebssystem des Endgerätes
· Systemdaten aus den App-Insights Analysen (s.u.)
Diese von uns gespeicherten Daten werden ausschließlich zur technischen Erfüllung der angebotenen IoT-Dienste verwendet und zu statistischen Zwecken ausgewertet, bzw. zur Wartung, zum Schutz und zur Verbesserung unserer Dienste, zur Entwicklung neuer Dienste sowie zum Schutz von VREEDA IoT und unseren Nutzern.
Rechtsgrundlage für diese Verarbeitung ist üblicherweise unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO, sowie in Fällen, in denen wir diese Daten für die Bereitstellung einer vertraglich zugesicherten Leistung benötigen, die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b EU-DSGVO.
V. App-Insights
Um den Funktionsumfang unseres Angebotes in der App zu erweitern, die Nutzung für dich komfortabler zu gestalten und mögliche Fehler frühzeitig zu erkennen und zu beheben, verwenden wir u.a. sogenannte App-Insights. Mit Hilfe dieser Technologie, die auf Ebene der App auch bestimmte personenbezogene Daten von dir enthalten kann, können bei dem Aufruf unserer App Daten auf deinem Endgerät gespeichert und Diagnosedaten bspw. über Fehler und Abstürze der App anonymisiert an unser Backend-System übertragen werden, d.h. ein Rückbezug auf dich ist auf Grund der so erhaltenen Daten im Backend-System nicht mehr möglich.
Die übertragenen Daten aus den App-Insights können folgende, anonymisierte Inhalte enthalten:
- Nutzungsfrequenz der App (täglich, wöchentlich, monatlich)
- Nutzungshäufigkeit und –dauer täglich
- Endgerät der Nutzung (Smartphone Modell) und dessen Softwareversion
- Land der Nutzung
- Verwendete Spracheinstellung des Smartphones
- Softwareversion der verwendeten VREEDA App
- Anzahl & Fehlermeldungen bei fehlgeschlagenen Login-Versuchen
- Anzahl & Fehlermeldungen bei fehlgeschlagenen Geräte-WLAN-Einbindungen
- Anzahl & Fehlermeldungen bei fehlgeschlagenen Verbindungen beim Steuern der Geräte
Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DSGVO.
VI. Erfassung der Geräteaktivität der IoT-Geräte
VREEDA und beauftragte Dienstleister werden die Aktivitäten der durch dich in der Plattform angemeldeten IoT-Geräte erfassen, da dies für die Bereitstellung des jeweiligen Dienstes erforderlich ist.
Dieser Vorgang erfasst jegliche Aktivität des Gerätes sowie physikalische Messwerte wie Leuchtfarben, Helligkeit, Stromverbrauch etc. und speichert diese Zustände und deren Änderungen. Diese Aktivitätsdaten sind für uns vor allem dafür wichtig, um dir ein optimales Nutzungserlebnis bieten zu können und dir die gesamte Bandbreite der VREEDA-Leistungen, vor allem digitale Services, zu ermöglichen.
Rechtsgrundlage für diese Verarbeitung personenbezogener Daten im Rahmen dieser Aktivitätsaufzeichnung ist die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b EU-DSGVO.
VII. Erhebung und Verarbeitung von freiwillig bereitgestellten zusätzlichen Daten
Nach der Inbetriebnahme des VREEDA-Systems wirst du in der IoT-Plattform gebeten, neben den notwendigen Daten zur Verwaltung deines Benutzerkontos (E-Mail-Adresse, Passwort) auch freiwillige zusätzliche Daten z.B. Benutzername, Vorname, Name und Adresse anzugeben. Die Angabe dieser Daten ist freiwillig und kann jederzeit übersprungen werden, die Angaben können in der App jederzeit geändert oder gelöscht werden. Rechtsgrundlage für diese Verarbeitung ist deine explizite Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO.
Je nach Nutzung der VREEDA Dienste kann sich die Rechtsgrundlage für die Verarbeitung von zunächst freiwillig bereitgestellten zusätzlichen Daten ändern, wenn die Daten für die Bereitstellung eines von dir genutzten VREEDA Dienstes erforderlich werden. Die Rechtsgrundlage für diese Verarbeitung ist dann die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b EU-DSGVO.
(1) Zugriff durch Nutzer
Die erhobenen zusätzlichen Daten stehen dir zur Verfügung.
(2) Zugriff durch VREEDA und Plattform-Partner
Diese zusätzlichen Angaben werden ab dem Start der Nutzung von Diensten, für die sie erforderlich sind, verarbeitet, um dir diese Dienste zur Verfügung zu stellen.
VIII. Gerätekonfiguration, Protokolldaten
Die IoT-Plattform erstellt die für den Betrieb des Systems notwendigen Systemkonfigurationen, wie bspw. Gerätenamen und Benutzerzuordnungen, Szenarien, Zeitprofile etc., automatisch und speichert diese sicher im IoT-Zentralsystem sowie in der App auf deinem Smartphone/Tablet. Die Systemkonfiguration der Geräte wird im VREEDA Rechenzentrum gesichert und nur für eine eventuelle Datenwiederherstellung verwendet, die du selbst veranlasst.
Das Zentralsystem und die IoT-App zeichnen die Status-Updates der Geräte in einer speziellen Datenbank auf.
Die Übermittlung von Steuerbefehlen des Zentralsystems sowie die Kommunikation zwischen diesem und deinen IoT-Geräten sowie der App erfolgt natürlich verschlüsselt und authentifiziert.
Rechtsgrundlage für diese Verarbeitung ist die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DSGVO.
(1) Zugriff durch Nutzer
Ein Zugriff durch dich zur Datenwiederherstellung ist gesichert. Eine solche eventuelle Datenwiederherstellung wird durch dich veranlasst, bspw. wenn du bereits verbundene Geräte zurücksetzt und neu in das System einbindest.
(2) Zugriff durch die VREEDA
VREEDA analysiert und wertet die Einstellungen deines Accounts im Zentralsystem und Steuerbefehle, die bei der Verbindung über das VREEDA Rechenzentrum entstehen, aus, um im Störfall bzw. bei auftretenden technischen Problemen eingreifen zu können, um die Verfügbarkeit der IoT-Lösung zu garantieren.
(3) Zugriff durch Plattform-Partner
Ein Zugriff durch berechtigte Plattform-Partner erfolgt nur bei Bedarf zur Fehleranalyse und -behebung.
(4) Löschung der Daten
Nicht mehr benötigte Protokolldaten sowie veraltete Konfigurationsdaten werden unverzüglich gelöscht, wenn kein Geschäftszweck mehr vorliegt und keine anderweitige Rechtsgrundlage – z.B. gesetzliche Aufbewahrungspflichten – besteht, um dem Prinzip der Datensparsamkeit gem. Art. 5 EU-DSGVO zu entsprechen.
IX. Pseudonymisierte Daten zur Entwicklung neuer Services
Personenbezogene Daten, die du uns bereitstellst oder die bei der Nutzung unserer Dienste entstehen (z.B. Aktivitäten der durch dich in der Plattform angemeldeten IoT-Geräte) werden zusätzlich laufend pseudonymisiert und anschließend in einem getrennten Datenspeicher analysiert, um weitere attraktive Dienste für unsere Nutzer entwickeln zu können. Die Entwicklung neuer Dienste ist ein wichtiger Bestandteil des Leistungsspektrums von VREEDA als innovative “Interaktions-Plattform”, die es ermöglichen soll, dem Nutzer über Standardfunktionen hinausgehende Mehrwerte aus smarten Geräten bereitzustellen. Eine Rückverfolgung der pseudonymisierten Daten auf deine Person findet nicht statt.
Rechtsgrundlage für diese Verarbeitung ist die Erfüllung unseres Vertrages mit dir gem. Art. 6 Abs. 1 lit. b DSGVO.
X. Personenbezogene Mehrwertangebote
Wenn du uns zusätzlich deine explizite Einwilligung gibst, werden wir dir auf deiner individuellen Nutzung der VREEDA Dienste basierende Mehrwertangebote unserer Partner machen können. Um dies tun zu können, müssen wir deine bis zum Zeitpunkt deiner Einwilligung für Analysezwecke pseudonym verarbeiteten Daten wieder mit deiner Person verknüpfen. Ab dem Zeitpunkt deiner Einwilligung werden wir deine personenbezogenen Daten dann nicht mehr, wie in Kapitel IX beschrieben, pseudonymisieren sondern personenbezogen speichern und analysieren.
Wir werden deine personenbezogenen Daten jedoch niemals ohne eine weitere explizite Einwilligung an Dritte weitergeben.
Rechtsgrundlage für diese Verarbeitung personenbezogener Daten ist deine explizite Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO.
Mit Widerruf deiner Einwilligung werden ab diesem Zeitpunkt deine personenbezogenen Daten wieder wie in Kapitel IX pseudonymisiert und getrennt verarbeitet und ohne sie auf deine Person zu beziehen analysiert.
XI. Beendigung der Nutzung unserer Dienste durch den Kunden
Solltest du VREEDA als Kunde verlassen, werden die gesamten Aktivitätsdaten deiner Geräte anonymisiert, um sie im Anschluss für statistische Analysen und Optimierungen unseres Angebotes nutzen zu können. Sie sind jedoch nicht mehr auf dich beziehbar. Die Rechtsgrundlage für diese Anonymisierung ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f EU-DSGVO.
XII. IT-Sicherheit, datenschutzfreundliches Design und Voreinstellungen
Ohne eine angemessene technische Architektur und aktuelle Absicherungsmaßnahmen kann eine Plattform wie VREEDA natürlich keinen effektiven Schutz deiner personenbezogenen Daten garantieren. Aus diesem Grund haben wir umfangreiche Sicherheitstechnologien nach allgemein anerkannten, aktuellen Standards zur Sicherung deiner Daten und der Plattform verwendet. Dazu zählen unter anderem Verschlüsselungen sämtlicher Kommunikationsstrecken zwischen IoT-Geräten, Client(-Apps) und Plattform-Services, zertifikatsbasierte Authentifizierung und Autorisierung der IoT-Geräte und Client(-Apps), OAuth2-Login, IP-Netz-Segmentierung, Firewalls, Over-the-air-Updates aller Komponenten, Zugriffsrechtemanagement, Pseudonymisierung.
Darüber hinaus folgen wir strikt den Prinzipien des Privacy by Design & by Default aus der EU-DGSVO gem. Art. 25, d.h. die VREEDA Plattform wurde grundsätzlich mit dem Ziel möglichst datenschutzfreundlicher Prozesse und Voreinstellungen entwickelt.
XIII. Verpflichtung der VREEDA GmbH Mitarbeiter auf Vertraulichkeit und den Datenschutz
Alle Mitarbeiterinnen und Mitarbeiter, die Zugriff auf personenbezogene Daten der IoT-Plattform haben, wurden auf Vertraulichkeit und den Datenschutz gem. EU-DSGVO und BDSG-neu verpflichtet und werden regelmäßig im Datenschutz geschult.
Darüber hinaus fordert VREEDA eine entsprechende Bestätigung über eine erfolgte ebensolche Verpflichtung von allen Plattform-Partnern und Dienstleistern für deren jeweilige Mitarbeiterinnen und Mitarbeiter.
XIV. Deine Betroffenenrechte
Im Rahmen der Nutzung der IoT-Plattform von VREEDA stehen dir natürlich deine Betroffenenrechte gem. Art. 12ff. EUDSGVO zu, insbesondere
· Recht auf Information
· Recht auf Auskunft
· Recht auf Berichtigung
· Recht auf Löschung (Recht auf Vergessenwerden)
· Recht auf Einschränkung der Verarbeitung
· Recht auf Datenübertragbarkeit
· Recht auf Widerspruch
· Recht auf Widerruf einer datenschutzrechtlichen Einwilligung
· Recht auf nicht ausschließlich automatisierte Entscheidung im Einzelfall einschl. Profiling
Um deine Betroffenenrechte gegenüber VREEDA geltend zu machen, nutze bitte die E-Mail-Adresse datenschutz@vreeda.com.
Darüber hinaus hast du das Recht, jederzeit bei einer Datenschutzaufsichtsbehörde eine Beschwerde einzureichen.
XII. Änderung unserer Datenschutzbestimmungen
Wir behalten uns das Recht vor, unsere Sicherheits- und Datenschutzmaßnahmen zu verändern, soweit dies wegen der technischen Entwicklung erforderlich wird. In diesen Fällen werden wir auch unsere Hinweise zum Datenschutz entsprechend anpassen. Bitte beachte daher die jeweils aktuelle Version unserer Datenschutzbestimmung zu unseren VREEDA IoT-Diensten.
Im Falle umfangreicher geplanter Anpassungen unserer Datenschutzbestimmungen werden wir dich im Vorfeld der Inkraftsetzung darüber informieren.
VREEDA GmbH, Essen, den 01.07.2022