Als Benutzer unserer intelligenten Automatisierungsplattform AnyFleet teilen Sie ausgewählte personenbezogene Daten mit uns. An den Schutz Ihrer Privatsphäre stellen wir dieselben hohen Ansprüche wie an die Qualität unserer Produkte. Insbesondere möchten wir Ihnen volle Transparenz bieten, was mit den personenbezogenen Daten, die Sie mit uns teilen, passiert. Deshalb haben wir die folgenden Datenschutzhinweise aufgesetzt, um Ihnen die Antworten auf folgende Fragen zur Verfügung zu stellen:
Wer erhebt Ihre personenbezogenen Daten?
Welche personenbezogenen Daten werden erhoben?
Warum werden die personenbezogenen Daten erhoben?
Wie werden die erhobenen Daten verarbeitet?
Wie schützen wir Ihre Privatsphäre?
Wie lange werden Ihre Daten aufbewahrt?
An wen geben wir Ihre personenbezogenen Daten weiter?
Auf welcher Rechtsgrundlage werden die Daten verarbeitet?
Welche Rechte haben Sie und an wen können Sie sich mit weiteren Fragen wenden?
Wir möchten keine Ihrer Fragen unbeantwortet lassen. Sollte deshalb Ihr individuelles Anliegen nicht im Folgenden geklärt worden sein, zögern Sie bitte nicht, sich direkt an uns zu wenden: [email protected]. Wir wollen, dass jeder, der unsere Produkte verwendet sich sicher fühlt und sich darauf verlassen kann, dass seine Privatsphäre jederzeit respektiert wird.
1. Wer erhebt Ihre personenbezogenen Daten?
IDEALworks GmbH, Riesstraße 22, 80992 München, Geschäftssitz und Registergericht: München, HRB 260546 (im Folgenden „idealworks“ oder einfach „wir“) ist die im Sinne der Datenschutz-Grundverordnung (im Folgenden „DSGVO“) für die Datenverarbeitung Verantwortliche. Wir sind verantwortlich für die Datenverarbeitung sowie die im Folgenden beschriebenen Maßnahmen zur Wahrung des Datenschutzes.
2. Welche personenbezogenen Daten werden erhoben?
Als Unternehmen befolgen wir streng den Grundsatz der Datenminimierung, das heißt wir erheben nur solche personenbezogenen Daten, die notwendig sind, um Funktionen unserer Automatisierungsplattform AnyFleet sicherzustellen. Darüber hinaus werden wir Sie niemals auffordern, uns personenbezogene Daten mitzuteilen, ohne den Zweck der Datenerhebung transparent zu kommunizieren.
Um sichere und benutzerspezifische Abläufe auf AnyFleet zu ermöglichen, müssen Sie ein Benutzerkonto erstellen. Bei der Registrierung bitten wir Sie daher um die Angabe Ihres vollständigen Namens sowie Ihrer E-Mail-Adresse und Telefonnummer (zur Multifaktor-Authentifizierung). Um Ihre Privatsphäre bestmöglich zu schützen, empfehlen wir Ihnen, stets nur geschäftliche Kontaktdaten zu verwenden.
Nachdem Sie einmal registriert wurden, dokumentieren wir sämtliche Zugriff-Versuche auf Ihr Benutzerkonto. Hierbei speichern wir die genaue Zeit der Anfrage, den verwendeten Browser, das Betriebssystem sowie die öffentliche IP-Adresse und den damit zusammenhängenden Standort des Endgeräts, von dem die Anfrage gesendet wurde, sowie den Erfolgsstatus.
Zu guter Letzt, speichern wir jegliche API (Application Programming Interface)-Anfrage an das Backend, die von ihrem Account während der Benutzung von AnyFleet ausgehen, auf Basis einer pseudonymen ID. Hierbei erfassen wir den genauen Zeitpunkt der Anfrage, den Anfragetyp, Erfolgsstatus, Bestimmungsort sowie Wartezeitmetriken.
3. Warum werden personenbezogene Daten erhoben?
Kundenspezifische von einander getrennte Tenants
Auf AnyFleet wird jedem Geschäftskunden eine eigene Umgebung - ein sogenannter Tenant - zugewiesen. Dadurch können Sie zum Beispiel mehrere Standorte wie Logistikhallen oder Produktionsstätten über ein Konto verwalten. Darüber hinaus können Sie Ihrem Tenant Benutzer eigenständig Benutzer hinzufügen. Die Benutzer können dabei mit verschiedenen Zugriffsrechten („admin“, „read“, „write“ usw.) versehen werden, um den Anforderungen unterschiedlicher Rollen der AnyFleet-Benutzer (Bediener, Logistikplaner usw.) gerecht zu werden.
Um die Informationssicherheit unserer Kunden bei der Benutzung von AnyFleet sicherzustellen, dokumentieren wir Login-Versuche auf die Benutzerkonten, um auffällige Anfragen zeitnah zu bemerken und an den Benutzer zu melden.
Zusätzlich ermöglichen wir die Personalisierung der Benutzerkonten, indem beispielsweise die Ansichts- oder Email-Benachrichtigungs-Einstellungen individuell angepasst werden können.
Diese Funktionen der Benutzer- und Zugriffsverwaltung benötigen personalisierte Benutzerkonten auf Basis der oben beschriebenen Mindestmenge an personenbezogenen Daten.
4. Wie werden die erhobenen Daten verarbeitet?
Auf AnyFleet verarbeiten wir personenbezogene Daten für drei Hauptzwecke: für die Benutzerauthentifizierung, die Benutzerverwaltung und das pseudonymisierte Tracking von Benutzeraktivitäten.
Nachdem Sie sich registriert haben, erstellen wir in einem speziellen Bucket auf unseren Cloud-Servern einen Eintrag für Ihr Benutzerkonto. Dort werden Ihre Kontakt- und Anmeldedaten gespeichert, um Zugriffsanfragen auf Ihr Konto zu verifizieren. Ebenso werden hier die letzten hundert Zugriffsanfragen auf das Benutzerkonto dokumentiert, um Sie direkt benachrichtigen zu können, falls wir auffällige Anfragen – wie beispielsweise ein Login-Versuch von einem ungewöhnlichen Ort oder Endgerät – bemerken. Wenn Sie Ihre Zugangsdaten verlieren, verwenden wir die von Ihnen angegebenen Kontaktdaten, um Sie zur Kontowiederherstellung zu kontaktieren. Darüber hinaus wird jedem Benutzerkonto ein UUID (Universally Unique Identifier) zugewiesen.
Jeder Geschäftskunde realisiert seine eigene Benutzerverwaltung auf AnyFleet. Nach der Übernahme des Tenant mit dem initialen Admin-Konto können nach Bedarf weitere Nutzer mit unterschiedlichen Zugriffsrechten hinzugefügt werden. Zusätzlich kann jeder Benutzer sein Konto in den Einstellungen gemäß seiner individuellen Bedürfnisse personalisieren, indem er beispielsweise wählt, bezüglich was er Emailbenachrichtigungen erhalten möchte oder nicht. Um jeden Nutzer mit dem richtigen Tenant, seinen entsprechenden Zugriffsrechten und individuellen Accounteinstellungen zu verknüpfen, müssen die von ihm angegebenen Anmeldedaten verarbeitet werden.
Außerdem erfassen wir Protokolle über Benutzeraktivitäten, um die Benutzerfreundlichkeit auf AnyFleet zu evaluieren und verbessern. Diese Protokolle basieren jedoch ausschließlich auf den pseudonymisierten UUIDs. Nur wenn die Benutzeraktivität mit anderen Benutzern geteilt werden soll, wie z. B. beim Benutzerverwaltungs- oder Karten-Aktivitätsprotokoll, werden die vollständigen Namen der aktiven Benutzer verwendet. Dann wird zum Zweck der endgültigen Anzeige der Benutzeraktivität die UUID mit dem im Benutzerkonto hinterlegten Namen abgeglichen. Diese Informationen können allerdings lediglich von anderen Benutzern desselben Tenants mit entsprechenden Zugriffsrechten eingesehen werden.
5. Wie schützen wir Ihre Privatsphäre?
Wir führen jeden Schritt bei der Verarbeitung von personenbezogenen Daten angemessen und sicher aus, um Ihre Privatsphäre zu schützen. Dabei setzen wir auf die im Folgenden aufgeführten bewährten Methoden und Technologien:
Sichere Cloud-Speicherung
Der Upload und die Speicherung von Daten auf unseren Cloud-Servern erfolgen vollständig verschlüsselt nach dem TLS-Standard. Dank der Zusammenarbeit mit einem führenden Cloud-Computing-Anbieter stellen wir sicher, dass die gesamte für die Speicherung personenbezogener Daten genutzte Infrastruktur stets dem neuesten Stand der Technik entspricht.
Datenspeicherung in sicherer Infrastruktur unseres Cloud-Providers
Strenge Zugriffskontrolle
Zugriff auf den Cloud-Bucket, der die Benutzerkontodaten enthält, haben nur ausgewählte Entwickler und Führungskräfte, für deren Aufgabenerfüllung er notwendig ist. Alle Zugriffsrechte werden jährlich formell überprüft und gegebenenfalls angepasst. Alle Mitarbeiter, die mit der Verarbeitung von personenbezogenen Daten befasst sind, haben eine adäquate Schulung erhalten.
Strikte Zugriffskontrollen für die personenbezogenen Daten der Nutzer
Zuverlässige Pseudonymisierung
Wo immer personalisierte Informationen nicht in von Menschen direkt lesbarer Form benötigt werden, verwenden wir stattdessen die pseudonymisierten IDs. Die Benutzer-IDs, die wir für das Tracking verwenden, sind sogenannte Universally Unique Identifiers. Diese werden nach dem Zufallsprinzip erstellt, so dass wir sicherstellen können, dass keine natürliche Person allein über ihre zugehörige ID identifiziert werden kann.
Zuverlässige Pseudonymisierungsverfahren
6. Wie lange werden Ihre Daten aufbewahrt?
Jeder Nutzer kann die Löschung seines Kontos jederzeit verlangen, was zur sofortigen Löschung seines Eintrags im Benutzerkonto-Bucket führt. Auf diese Weise werden alle Informationen einschließlich des vollständigen Benutzernamens, der angegebenen Kontaktdaten sowie der zugehörigen Benutzer-ID gelöscht. 90 Tage nach Beendigung eines Vertrags mit einem Geschäftskunden werden alle mit dem Vertrag verbundenen Tenants und Benutzerkonten inklusive sämtlicher dokumentierter Zugriffsanfragen ebenfalls gelöscht.
Da alle Protokolle der Benutzeraktivitäten ausschließlich auf den pseudonymisierten IDs basieren, können sie nach der Löschung des Benutzerkontos in keiner Weise mehr einer natürlichen Person zugeordnet werden. Folglich gelten sie ab diesem Zeitpunkt nicht mehr als personenbezogene Daten im Sinne der DSGVO.
7. An wen geben wir Ihre personenbezogenen Daten weiter?
Bei der Speicherung und Verwaltung unserer Daten stützen wir uns auf die Infrastruktur unseres Cloud-Computing-Anbieters. Um einen personalisierten First-Level-Support auf AnyFleet bieten zu können, arbeiten wir mit einem Anbieter automatisierter Kundenservicelösungen zusammen.
Wir stellen sicher, dass alle von uns erworbenen Verarbeitungsdienste auf EU-Servern basieren und dass alle unseren Servicepartner sich uneingeschränkt zur Einhaltung der DSGVO verpflichten und Sicherheitsmaßnahmen nach dem aktuellen Stand der Technik anwenden.
8. Auf welcher Rechtsgrundlage werden die Daten verarbeitet?
Rechtsgrundlage für die oben beschriebene Erhebung und Verarbeitung der personenbezogenen Daten im Zusammenhang mit der Erstellung und Verifizierung von Benutzerkonten ist die Erfüllung der Vertragspflichten gemäß Art. 6 (1) b) DSGVO, unseren Geschäftspartnern die Funktionen von AnyFleet sicher zur Verfügung zu stellen.
Um den Kunden alle personalisierten Funktionen zur Verfügung stellen zu können und Fremdzugriffe zu verhindern, ist die Einrichtung von Benutzerkonten erforderlich. Zu diesem Zweck verarbeiten wir den vollständigen Namen, die Kontaktdaten sowie Login-Historie des Benutzers, wie oben beschrieben.
Eine zusätzliche Rechtsgrundlage für die Verarbeitung sind die berechtigten Interessen von idealworks gemäß Art. 6 (1) f) DSGVO. Wir haben großes Interesse daran, die Benutzerfreundlichkeit und Gesamtfunktionalität von AnyFleet kontinuierlich zu verbessern. Daher erheben wir pseudonymisierte Protokolle der Benutzeraktivitäten, um diesen Prozess zu automatisieren.
9. Welche Rechte haben Sie und an wen können Sie sich mit weiteren Fragen wenden?
Als von der Verarbeitung Ihrer Daten betroffene Person können Sie bestimmte Rechte nach der DSGVO und anderen einschlägigen datenschutzrechtlichen Bestimmungen geltend machen. Wenn Sie eines der unten aufgeführten Rechte ausüben wollen oder andere Fragen zu unseren Datenschutzrichtlinien haben, wenden Sie sich bitte mit Ihrer Anfrage an uns und senden Sie eine E-Mail an [email protected].
Nach der DSGVO können Sie als betroffene Person gegenüber idealworks die folgenden Rechte geltend machen:
Auskunftsrecht der betroffenen Person (Art. 15 DSGVO)
Sie haben jederzeit das Recht, von uns Auskunft über die Daten zu verlangen, die wir zu Ihrer Person gespeichert haben. Diese Informationen umfassen unter anderem die Kategorien von Daten, die wir verarbeiten, die Zwecke, für die sie verarbeitet werden, die Quelle der Daten, wenn sie nicht direkt bei Ihnen erhoben wurden, und gegebenenfalls die Empfänger, an die wir Ihre Daten weitergegeben haben. Eine Kopie Ihrer Daten können Sie kostenlos von uns erhalten. Sollten Sie mehrere Kopien benötigen, behalten wir uns das Recht vor, Ihnen die weiteren Kopien in Rechnung zu stellen.
Recht auf Berichtigung (Art. 16 DSGVO)
Sie haben das Recht zu verlangen, dass wir inkorrekte Daten, die Sie betreffen, berichtigen. Des Weiteren haben Sie das Recht, dass wir unvollständige Angaben auf Ihre Anfrage hin vervollständigen. Wir werden angemessene Maßnahmen ergreifen, um die Daten, die wir zu Ihrer Person aufbewahren und verarbeiten, jeder Zeit korrekt, vollständig sowie aktuell basierend auf den neusten uns vorliegenden Informationen zu halten.
Recht auf Löschung (Art. 17 DSGVO)
Sie haben das Recht, von uns die Löschung Ihrer Daten zu verlangen, sofern die rechtlichen Anforderungen dafür erfüllt sind. Dies kann nach Art. 17 DSGVO der Fall sein, wenn
die Daten für die Zwecke, für die sie erhoben oder anderweitig verarbeitet wurden, nicht mehr benötigt werden;
Sie die Einwilligung, auf der die Datenverarbeitung beruht, widerrufen, und es keine andere Rechtsgrundlage für die Verarbeitung gibt;
Sie Widerspruch gegen die Verarbeitung Ihrer Daten einlegen und keine berechtigten Gründe für die Verarbeitung vorliegen, oder wenn Sie der Datenverarbeitung für Zwecke der Direktwerbung widersprechen;
die Daten unrechtmäßig verarbeitet wurden und sofern die Verarbeitung nicht erforderlich ist:
zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert;
zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Das Recht auf Einschränkung der Datenverarbeitung (Art. 18 EU-DS-GVO),
Sie haben das Recht zu verlangen, dass wir die Verarbeitung Ihrer Daten einschränken, wenn
Sie die Richtigkeit der Daten bestreiten – in diesem Fall kann die Verarbeitung während des Zeitraums, der für die Überprüfung der Richtigkeit der Daten erforderlich ist, eingeschränkt werden;
die Verarbeitung unrechtmäßig ist, Sie aber die Löschung Ihrer Daten ablehnen und stattdessen eine Einschränkung ihrer Verwendung verlangen;
wir Ihre Daten nicht mehr benötigen, Sie sie aber zur Geltendmachung, Ausübung oder Verteidigung Ihrer Rechte benötigen;
Sie Widerspruch gegen die Verarbeitung Ihrer Daten eingelegt haben, solange nicht feststeht, ob unsere berechtigten Gründe Ihren berechtigten Gründen gegenüber überwiegen.
Recht auf Datenübertragbarkeit (Art. 20 DSGVO)
Sie haben das Recht zu verlangen, dass wir Ihre Daten – soweit technisch möglich – an einen anderen Verantwortlichen übermitteln. Sie können dieses Recht jedoch nur geltend machen, wenn die Datenverarbeitung auf Ihrer Einwilligung beruht oder für die Erfüllung eines Vertrags erforderlich ist. Statt eine Kopie Ihrer Daten anzufordern, können Sie uns auch auffordern, die Daten direkt an einen anderen, von Ihnen angegebenen Verantwortlichen zu übermitteln.
Widerspruchsrecht (Art. 21 DSGVO)
Sie haben das Recht, der Verarbeitung Ihrer Daten aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit zu widersprechen, sofern die Datenverarbeitung auf Ihrer Einwilligung, auf unseren berechtigten Interessen oder denen eines Dritten beruht. In diesem Fall werden wir die Verarbeitung Ihrer Daten einstellen. Dies gilt nicht, wenn wir zwingende schutzwürdige Gründe für die Verarbeitung nachweisen können, die Ihre Interessen überwiegen, oder wenn wir Ihre Daten für die Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen.
Wir bemühen uns, alle Anfragen innerhalb von 14 Tagen zu beantworten. Diese Frist kann sich jedoch aus bestimmten Gründen verlängern, die mit dem spezifischen Rechtsanspruch oder der Komplexität Ihrer Anfrage zusammenhängen. Unabhängig von der Komplexität Ihrer Anfrage werden wir versuchen, uns so schnell wie möglich bei Ihnen zu melden, um Sie über den Status Ihrer Anfrage in Kenntnis zu setzen.
Beschwerde bei einer Datenschutzaufsichtsbehörde
idealworks nimmt Ihre Anfragen und Rechte sehr ernst. Bei allen Verarbeitungsschritten, die wir vornehmen, hat der Schutz Ihrer Privatsphäre oberste Priorität. Wenn Sie jedoch der Meinung sind, dass wir auf Ihre Beschwerden oder Bedenken nicht angemessen reagiert haben, haben Sie das Recht, bei Ihrer zuständigen Datenschutzaufsichtsbehörde eine Beschwerde einzureichen.