Datenschutzhinweise für „S-Trust“

Moderne digitale Angebote verwenden Daten in vielfältiger, kundenorientierter Weise. Wir erheben Daten sparsam und gehen sorgsam mit ihnen um. Hierzu hat sich der Anbieter als zentraler Lösungsanbieter der Sparkassen-Finanzgruppe seit jeher verpflichtet. Wichtige Grundsätze einer ordnungsgemäßen Datenverarbeitung sind die Rechtmäßigkeit und die Transparenz gegenüber den Personen, deren Daten verarbeitet werden. Diesem Transparenzgebot folgen wir mit den vorliegenden Hinweisen.

§ 1 Verantwortlicher

Verantwortlicher im Sinne der EU Datenschutz-Grundverordnung (im Folgenden „DSGVO“) und weiterer Vorschriften über den Datenschutz ist die

S-Communication Services GmbH

(im Folgenden „Anbieter“)

Anschrift: Friedrichstraße 50, 10117 Berlin

Land: Deutschland

Telefon: +49 30 246 36-700

Telefax: +49 30 246 36-701

E-Mail: support@s-trust.de

Website: https://www.s-trust.de

Die Sparkassen sind nicht Anbieter des S-Trust-Angebots, können im Rahmen von Provisionsmodellen ihren Kunden aber S-Trust-Vorteilsangebote unterbreiten.

§ 2 Begrifflichkeiten

Personenbezogene Daten sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (sog. „betroffene Person“, im Folgenden auch „Betroffener“ oder „Nutzer“). Dazu gehören, um nur einige Beispiele zu nennen, der Name, die E-Mail-Adresse oder die Telefonnummer sowie Daten über Interessen oder Website-Besuche, in Dokumenten enthaltene Informationen oder getätigte Online-Einkäufe, immer vorausgesetzt, dass diese Informationen mit einer Person wie eben dem Nutzern verbunden sind oder in Verbindung gebracht werden können. Anonymisierte Daten etwa weisen keinen Personenbezug mehr auf.

Website bezeichnet im Folgenden die Marketingseite www.s-trust.de, auf welcher Informationen rund um das Produkt S-Trust bereitgestellt werden.

S-Trust App ist der Zugang zum S-Trust-Angebot. Sie ist als Smartphone App, Webversion, Desktop-Version und Browser Erweiterung erhältlich. Die Smartphone App ist in den üblichen Stores verfügbar. Die Desktop-Versionen, können von der Website heruntergeladen werden. Die Browser Erweiterungen stehen in den jeweiligen Stores der Browser zur Verfügung.

§ 3 Allgemeines zur Datenverarbeitung

Der Anbieter verarbeitet personenbezogene Daten der Nutzer grundsätzlich nur, soweit dies zur Erbringung seiner Leistungen und etwaiger damit verbundener Nebenleistungen erforderlich ist. Der Anbieter hat auf Basis des gesetzlich geforderten risikoorientierten Ansatzes technische und organisatorische Maßnahmen umgesetzt, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulationen, gegen Verlust, Zerstörung oder den Zugriff Unberechtigter zu schützen. Die Sicherheitsmaßnahmen des Anbieters werden unter anderem entsprechend der technologischen Entwicklung fortlaufend kontrolliert und verbessert.

§ 4 Datenverarbeitung bei Erstellung und Löschung eines Kundenkontos

(1) Für die Anwendung S-Trust legt der Nutzer (Kunde) über die dafür angebotene Klickstrecke für sich selbst ein Nutzerkonto an. Das Nutzerkonto ist Voraussetzung für die sichere Verwaltung der in der Anwendung hinterlegten Dokumente und Passwörter des Nutzers.

(2) Durch die Erstellung des Nutzerkontos wird ein eigenes Rechtsverhältnis begründet, welches auch vertragliche Nebenpflichten und die Abrechnung von Provisionsmodellen umfasst. Die Daten werden gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO verarbeitet. Bei der Einrichtung des Nutzerkontos verarbeitet der Anbieter für die Zwecke der Registrierung die E-Mail-Adresse des Nutzers, die von diesem gewählte Produktvariante, die IP-Adresse und den Zeitpunkt der Registrierung, sowie die für die Abrechnung von kostenpflichtigen S-Trust-Produktvarianten notwendigen Abrechnungsdaten in Abhängigkeit des gewählten Bezahlverfahrens (z. B. IBAN, Anschrift, Kreditkartennummer, CVV, Kartenablaufdatum). Die Zahlungsverkehrsdaten dürfen für Abrechnungszwecke an Payment Service Provider oder sonstige Zahlungsabwickler weitergereicht werden. Darüber hinaus verarbeitet der Anbieter Nutzungsdaten (Auslastung des Speichers für Dokumente und Passworttresor, Frequenz der Besuche).

(3) Für den Fall des Verlusts der Zugangsdaten, welche für eine Anmeldung zu dem jeweiligen S Trust-Account benötigt werden, erzeugt S-Trust einen nur dem Nutzer im Rahmen der Registrierung angezeigten und im Nutzerkonto abrufbaren Wiederherstellungs-Code. Dieser Code dient zur Wiederherstellung der Zugriffsberechtigung bei Verlust der Zugangsdaten und muss gut aufbewahrt werden. Im Falle eines Verlusts des Wiederherstellungs-Codes kann der Account nicht wiederhergestellt werden. Es wird hierfür auch kein Escrow-Verfahren im Sinne des Absatz 6 angeboten.

(4) Die während der Nutzung von S-Trust vom Nutzer in die Anwendung eingestellten Dokumente sind nach dem Stand der Technik verschlüsselt und zu keinem Zeitpunkt – weder für den Anbieter noch für die Sparkassen – einsehbar. Gleiches gilt für das Passwort, das der Nutzer für den sicheren Login benötigt.

(5) Der Nutzer hat die Möglichkeit, einzelne seiner Dokumente über die hierfür in der Anwendung zur Verfügung gestellte Funktionalität für andere Personen gezielt freizugeben und auf diese Weise zu teilen.

(6) Sollte die S-Communication Services GmbH aufgrund von Ansprüchen eines Erben, der Aufforderungen einer Strafverfolgungsbehörde oder in vergleichbaren Fällen zur Herausgabe von Dokumenten verpflichtet sein, ist sie gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO zur Verarbeitung der davon betroffenen Daten bzw. Account-Inhalte berechtigt. Der S-Communication Services GmbH ist es aufgrund der bestehenden S-Trust-Schutzmaßnahmen technisch nicht möglich, eigenständig auf Dokumente im S-Trust-Safe zuzugreifen. Vielmehr kommt in den in Satz 1 genannten Fällen ein streng reglementiertes Key-Escrow-Verfahren zur Anwendung. Für staatliche Stellen sind keine Schlüssel hinterlegt. Für die Fälle, dass ein Nutzer sein Passwort vergisst, wird dieses aufwendige Verfahren nicht angeboten.

(7) Alle Maßnahmen der Sicherheit, einschließlich der Verschlüsselung, sind nach dem Stand der Technik umgesetzt. Die Datenübertragung ist mit „https“ gesichert.

(8) Die personenbezogenen Daten werden bis zur Löschung des Nutzerkontos oder bis zu dem Zeitpunkt verarbeitet, in dem für den Anbieter ersichtlich ist, dass einer der sonstigen in Artikel 17 Absatz 1 DSGVO genannten Löschgründe vorliegt und insoweit einer Löschung der Daten keine der in Artikel 17 Absatz 3 DSGVO genannten Gründe, insbesondere gesetzliche Aufbewahrungspflichten oder die Verfolgung eigener Rechtsansprüche entgegenstehen. Die Löschung des Nutzerkontos kann der Nutzer innerhalb des S-Trust-Accounts beantragen (Kündigung). Alternativ kann er der Datenverarbeitung mit dem Widerrufsformular (siehe Anlage zu den AGB) widersprechen (Kündigung durch Beendigung der Datenverarbeitung).

(9) Der Nutzer ist verpflichtet, für die von ihm im S Trust-Safe abgelegten Dokumente die gesetzlichen Aufbewahrungsfristen (z. B. gemäß Steuerrecht, Handelsrecht, Gewerberecht, Sozialrecht) eigenständig einzuhalten und hat zu berücksichtigen, dass der Ausdruck digitaler Dokumente lediglich eine Kopie darstellt und gegebenenfalls rechtlich einem Original nicht gleichgestellt ist. Er hat, sofern erforderlich, Originale aufzubewahren.

(10) Bei der Kündigung von zahlungspflichtigen Zusatzleistungen über den auf der Website angebotenen Kündigungsbutton werden vom Nutzer zur Durchführung der Kündigung über ein Formular folgende Daten verarbeitet: Vorname, Nachname, E-Mail-Adresse, Abo, Vertragsende, Art der Kündigung, Kündigungsgrund. Die Daten werden zum Zwecke der Vertragserfüllung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO verarbeitet.

(11) Widerruf, Widerspruch und Ende der Verarbeitung: Zur Beendigung der Verarbeitung kann das Nutzerkonto gekündigt oder durch den Nutzer über die vorgesehene Möglichkeit im Account gelöscht werden. Die im Account vorhandenen Daten werden aus der Anwendung S-Trust unwiderruflich gelöscht. Die von den Nutzern für die Anmeldung verwendeten Namen oder E-Mail-Adressen werden im Zuge der Account-Löschung anonymisiert. Backups werden für die Dauer von 36 Monaten, Logdateien gemäß den handels- und steuerrechtlichen Vorgaben für die Dauer von 10 Jahren aufbewahrt.

§ 5 Datenverarbeitung für Zwecke der Information und Werbung

(1) Der Newsletter des Anbieters bietet Informationen zur Nutzung von S-Trust. Dies können beispielsweise Informationen über Produktupdates, das Erreichen der Speicherobergrenze, die sichere Vergabe von Passwörtern oder über eine längere Inaktivität des Nutzers sein. Diese Informationen erhalten Nutzer an ihre bei der Erstellung des S-Trust-Kontos hinterlegte E-Mail-Adresse nur, wenn sie der Verwendung der Adresse zu Zwecken der Werbung zuvor nicht widersprochen haben. Der Anbieter hat gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO i. V. m. § 7 Absatz 3 UWG ein berechtigtes wirtschaftliches Interesse daran, dem Nutzer Informationen über die Nutzung von S-Trust zukommen zu lassen. Diesem berechtigten Interesse des Anbieters stehen keine überwiegenden Interessen des Nutzers entgegen, da die Informationen dem Nutzer die Accountverwaltung erleichtern, zur Sicherheit beitragen und sich auf das Produkt S-Trust beschränken.

(2) Der Nutzer kann der Versendung der in Absatz 1 genannten Newsletter jederzeit per E-Mail bzw. über den am Ende einer jeden Newsletter-Mail enthaltenen Link widersprechen.

(3) Informationen über Änderungen der AGB, Änderungen der Datenschutzhinweise oder andere Pflichtinformationen versendet der Anbieter gemäß Art. 6 Abs. 1 Satz 1 Buchstabe c DSGVO. Dem Erhalt dieser Informationen kann aus rechtlichen Gründen nicht widersprochen werden.

§ 6 Datenverarbeitung bei Nutzung der Website

(1) Bei Nutzung der Website werden Daten zwischen dem Client (z. B. dem Browser des Nutzers) und dem Server (Website) ausgetauscht. Für die erforderliche Nachvollziehbarkeit der Kommunikation werden dabei sogenannte Log-Dateien angelegt (vgl. Absatz 2) und mit Hilfe von Google Analytics weitergehende Informationen gewonnen (vgl. § 8).

(2) Der Anbieter speichert in den in Absatz 1 genannten Log-Dateien die vollständige IP-Adresse der Clients für die Dauer von 30 Tagen. Mittels dieser Log-Dateien kann der Anbieter die Aktivitäten auf der Webseite nachvollziehen und so beispielsweise Fehler identifizieren oder Angriffe abwehren. Die Logfiles werden nicht zur regelmäßigen Auswertung des Nutzerverhaltens verwendet und nicht mit anderen Daten zusammengeführt. Die Daten werden aus Gründen der Vertragserfüllung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO und Informationssicherheit gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO verarbeitet.

§ 7 Datenverarbeitung durch technisch notwendige Cookies

(1) Beim Besuch der Website und Nutzung der S-Trust App werden auf dem Rechner des Nutzers Cookies gesetzt. Cookies sind kleine Informationsdateien, die auf dem vom Nutzer verwendeten Endgerät abgelegt werden, insbesondere, um diese Informationen zu einem späteren Zeitpunkt wieder nutzen zu können.

(2) Bei jeder Nutzung werden zur Gewährleistung der Betriebsfähigkeit der Website die nachfolgenden Informationen in Cookies abgelegt: Log-In-Informationen (Session Cookies), damit die Option „Angemeldet-Bleiben“ genutzt werden kann und die Seiteninhalte in einer Weise angeboten werden können, die einem modernen Nutzungserlebnis entspricht sowie Cookies, welche die Sicherheit der Verbindung zum Server erhöhen. Rechtsgrundlage hierfür ist § 25 Abs. 2 Nr. 2 TDDDG.

(3) Cookies werden gemäß den darin hinterlegten Fälligkeitswerten vom Browser des Nutzers automatisiert gelöscht. Nutzer können die Funktionen des Browsers aber auch verwenden, um Cookies gezielt zu löschen.

§  8 Google Analytics & YouTube

§ 8.1 Google Analytics

Google Analytics ist ein Webanalysedienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland („Google“), die insoweit als unsere Auftragsverarbeiterin (Art. 28 DSGVO) tätig wird.

Google Analytics verwendet Cookies, die für statistische Zwecke eine Analyse der Benutzung dieser Website durch Sie ermöglichen. Dabei wird stets das Verhalten und die Eigenschaften des Browsers (Seitenaufrufe, Klicks auf Links, Anträge, Einstellungen des Browsers) gemessen. Von Ihnen gemachte Eingaben in Formulare oder andere konkrete Inhalte können nicht erfasst werden. In unserem Auftrag wird Google diese Informationen benutzen, um Reports über die Nutzung der Website zusammenzustellen, die der Reichweitenmessung dienen sowie personalisierte Werbeanzeigen ermöglichen.

Die durch Ihre Benutzung dieser Website erzeugten Informationen können auch an einen Server von Google in den USA übertragen und dort gespeichert werden. Im Rahmen der für diese Website aktivierten IP-Anonymisierung wird jedoch Ihre IP-Adresse von Google vor Speicherung gekürzt. Dadurch können die übermittelten Informationen nicht mehr über die IP-Adresse einer einzelnen Person zugeordnet werden.

Für die Gewährleistung des Datenschutzniveaus bei Verarbeitung in Drittländern (insbesondere auch den USA) hat unsere Dienstleisterin, die Google Ireland Ltd., mit ihren Unterauftragsverarbeitern (insbesondere der Google LLC) Standardvertragsklauseln vereinbart, die auf dem Modul 3 der von der Europäischen Kommission am 04.06.2021 verabschiedeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer beruhen. https://business.safety.google/adsprocessorterms/sccs/eu-p2p-intra-group/ Die im Rahmen von Google Analytics verarbeiteten und mit Cookies verknüpften Daten werden nach 26 Monaten automatisch gelöscht.

Rechtsgrundlage für die Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO bzw. § 25 Abs. 1 TDDDG.

§ 8.2 YouTube

YouTube ist ein US-amerikanischer Anbieter für Internet-Videos. Auch unser Angebot nutzt solche Videos. Die YouTube LLC ist eine Tochtergesellschaft der Google LLC. Im Folgenden umfasst der Begriff „Google“ die Google LLC und ihre verbundenen Unternehmen.

Bei Einbindung von YouTube-Inhalten sowie bei Nutzung der hierfür von Google bereitgestellten Skripte oder Media-Plugins beschränkt sich die Datenverarbeitung nicht auf den Bereich der YouTube-Plattform, sondern Google kann Informationen aus dem Online-Angebot des Verwenders von Google Services entgegennehmen und für eigene Zwecke weiterverarbeiten. Um dies zu bewerkstelligen, speichert Google Cookies auf Ihrem Endgerät oder nutzt vergleichbare Technologien zur Wiedererkennung von Endgeräten (z. B. Device-Fingerprinting). Google kann auf diese Weise Informationen über Endnutzer des vorliegenden Online-Angebots erhalten. Diese Informationen über die von den Endnutzern abgerufenen Seiteninhalt oder Videoinhalte nebst Zeitstempel und IP-Adresse werden von Google unter anderem für die Erstellung von Videostatistiken, für die Verbesserung der Anwenderfreundlichkeit, zur Verhinderung von Betrugsversuchen und für Werbezwecke – wie bspw. die Anreicherung des DoubleClick-Netzwerks – verwendet. Bei Endnutzern, an ihrem Google-Konto angemeldet sind, kann Google zudem das individuelle Surfverhalten dem persönlichen Endnutzer-Profil zuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Google-Konto ausloggen.

Auf Datenverarbeitungen durch Google haben wir keinen Einfluss. Um jedoch die Datenverarbeitung durch Google einzuschränken, nutzen wir YouTube in dem von Google angebotenen erweiterten Datenschutzmodus. Laut Google werden Cookies in diesem Fall erst dann gesetzt und Daten erst dann erhoben und weiterverarbeitet, wenn Endnutzer die Wiedergabe des eingebundenen YouTube-Videos starten.

Wir nutzen YouTube im Interesse einer informativen oder ansprechenden Ausgestaltung unseres Online-Angebots. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO dar. Sofern wir für die Verarbeitung von Daten für Zwecke der YouTube-Nutzung von den Endnutzern eine Einwilligung einholen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO. Werden für YouTube Informationen im Sinne des § 25 Abs. 1 Satz 1 TDDDG gespeichert oder wird auf solche Informationen zugegriffen, holen wir auch hierfür die Einwilligung der Endnutzer ein. Sofern bei Nutzung von Google Business Services Daten in einen Drittstaat übermittelt werden und hierfür kein Angemessenheitsbeschluss oder sonstige Garantie im Sinne der Artikel 44 ff. DSGVO besteht, nimmt Google zudem Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 Buchst. c DSGVO in seine Verträge mit den Verwendern dieser Services auf. 

Mehr über die Datenverarbeitung durch Google erfahren Sie auf der Seite www.youtube.com unter dem Link „Datenschutz“, der Sie auf die Seite https://policies.google.com/privacy  weiterleitet.  

§ 9 Datenverarbeitung aufgrund behördlicher oder gerichtlicher Anordnung oder zwingender Rechtspflichten

(1) Bevor der Anbieter Daten aufgrund einer behördlichen oder gerichtlichen Anordnung sowie zwingender Rechtspflichten offenlegt, prüft er mit besonderer Sorgfalt, ob die entsprechenden Anforderungen formal wie inhaltlich berechtigt sind.

(2) Rechtsgrundlage: Erfüllung einer rechtlichen Verpflichtung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO.

(3) Der Umstand der Offenlegung und die wesentlichen Begleitumstände werden zu Beweiszwecken gesondert protokolliert und bis zum Ablauf der diesbezüglichen Verjährungsfristen aufbewahrt, in der Regel für die Dauer von drei Jahren.

§ 10 Rechte betroffener Personen

(1) Werden personenbezogenen Daten verarbeitet, stehen dem Nutzer gegenüber dem Anbieter die in den Absätzen 2 bis 11 genannten Rechte zu.

(2) Nutzer können vom Anbieter eine Bestätigung darüber verlangen, ob personenbezogene Daten, die den Nutzer betreffen, vom Anbieter verarbeitet werden. Liegt eine solche Verarbeitung vor, können Nutzer vom Anbieter über die in Artikel 15 DSGVO genannten Informationen Auskunft verlangen.

(3) Nutzer haben gemäß Artikel 16 DSGVO ein Recht auf Berichtigung oder Vervollständigung ihrer Daten. Der Anbieter wird die Berichtigung unverzüglich vornehmen.

(4) Nutzer können vom Anbieter verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Anbieter ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der in Artikel 17 Absatz 1 DSGVO genannten Gründe zutrifft und keine der in Artikel 17 Absatz 3 DSGVO genannten Ausnahmen vorliegt.

(5) Unter den in Artikel 18 DSGVO genannten Voraussetzungen und soweit keine Ausnahme nach Artikel 17 Absatz 3 DSGVO vorliegt, können Nutzer die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen. Wurde die Verarbeitung der einen Nutzer betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit der Einwilligung des Nutzers oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Wurde die Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, wird der Nutzer vom Anbieter unterrichtet, bevor die Einschränkung aufgehoben wird.

(6) Hat der Anbieter die den Nutzer betreffenden personenbezogenen Daten öffentlich gemacht und ist er gemäß Artikel 17 Absatz 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass der Nutzer als betroffene Person vom Anbieter die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(7) Haben Nutzer das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Anbieter geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die die Nutzer betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Nutzern steht gegenüber dem Anbieter das Recht zu, über diese Empfänger unterrichtet zu werden.

(8) Nutzer haben das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Anbieter bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Nutzer das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Anbieter zu übermitteln, sofern die Voraussetzungen aus Artikel 20 Absatz 1 Buchstaben a und b DSGVO gegeben sind. In Ausübung dieses Rechts haben Nutzer ferner das Recht, zu erwirken, dass die die Nutzer betreffenden personenbezogenen Daten direkt vom Anbieter einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden. Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Anbieter übertragen wurde.

(9) Widerspruchsrecht: Nutzer haben gemäß Artikel 21 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Artikel 6 Absatz 1 Satz 1 Buchstabe e oder f DSGVO erfolgt, Widerspruch einzulegen. Der Anbieter verarbeitet die die Nutzer betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der Nutzer überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die, die Nutzer betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Nutzer das Recht, jederzeit Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Widersprechen Nutzer der Verarbeitung für Zwecke der Direktwerbung, so werden die sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Nutzer haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

(10) Widerruf der Einwilligung: Nutzer haben gemäß Artikel 5 Absatz 3 Satz 1 DSGVO das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

(11) Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Nutzern das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78 DSGVO.

§ 11 Betrieblicher Datenschutzbeauftragter

Betrieblicher Datenschutzbeauftragter ist Herr Jochen Weller bei der Deutscher Sparkassen Verlag GmbH (Am Wallgraben 115, 70565 Stuttgart, Telefon: +49 711 782-21151). Sie erreichen das Team für Datenschutz und Informationssicherheit über unser hierfür zur Verfügung gestelltes Webformular .

§ 1 Verantwortlicher

Verantwortlicher im Sinne der EU Datenschutz-Grundverordnung (im Folgenden „DSGVO“) und weiterer Vorschriften über den Datenschutz ist die

S-Communication Services GmbH

(im Folgenden „Anbieter“)

Anschrift: Friedrichstraße 50, 10117 Berlin

Land: Deutschland

Telefon: +49 30 246 36-700

Telefax: +49 30 246 36-701

E-Mail: support@s-trust.de

Website: https://www.s-trust.de

Die Sparkassen sind nicht Anbieter des S-Trust-Angebots, können im Rahmen von Provisionsmodellen ihren Kunden aber S-Trust-Vorteilsangebote unterbreiten.

§ 2 Begrifflichkeiten

sind Einzelangaben über persönliche oder sachliche Verhältnisse einer bestimmten oder bestimmbaren natürlichen Person (sog. „betroffene Person“, im Folgenden auch „Betroffener“ oder „Nutzer“). Dazu gehören, um nur einige Beispiele zu nennen, der Name, die E-Mail-Adresse oder die Telefonnummer sowie Daten über Interessen oder Website-Besuche, in Dokumenten enthaltene Informationen oder getätigte Online-Einkäufe, immer vorausgesetzt, dass diese Informationen mit einer Person wie eben dem Nutzern verbunden sind oder in Verbindung gebracht werden können. Anonymisierte Daten etwa weisen keinen Personenbezug mehr auf.

bezeichnet im Folgenden die Marketingseite www.s-trust.de, auf welcher Informationen rund um das Produkt S-Trust bereitgestellt werden.

 ist der Zugang zum S-Trust-Angebot. Sie ist als Smartphone App, Webversion, Desktop-Version und Browser Erweiterung erhältlich. Die Smartphone App ist in den üblichen Stores verfügbar. Die Desktop-Versionen, können von der Website heruntergeladen werden. Die Browser Erweiterungen stehen in den jeweiligen Stores der Browser zur Verfügung.

§ 3 Allgemeines zur Datenverarbeitung

Der Anbieter verarbeitet personenbezogene Daten der Nutzer grundsätzlich nur, soweit dies zur Erbringung seiner Leistungen und etwaiger damit verbundener Nebenleistungen erforderlich ist. Der Anbieter hat auf Basis des gesetzlich geforderten risikoorientierten Ansatzes technische und organisatorische Maßnahmen umgesetzt, um personenbezogene Daten gegen zufällige oder vorsätzliche Manipulationen, gegen Verlust, Zerstörung oder den Zugriff Unberechtigter zu schützen. Die Sicherheitsmaßnahmen des Anbieters werden unter anderem entsprechend der technologischen Entwicklung fortlaufend kontrolliert und verbessert.

§ 4 Datenverarbeitung bei Erstellung und Löschung eines Kundenkontos

(1) Für die Anwendung S-Trust legt der Nutzer (Kunde) über die dafür angebotene Klickstrecke für sich selbst ein Nutzerkonto an. Das Nutzerkonto ist Voraussetzung für die sichere Verwaltung der in der Anwendung hinterlegten Dokumente und Passwörter des Nutzers.

(2) Durch die Erstellung des Nutzerkontos wird ein eigenes Rechtsverhältnis begründet, welches auch vertragliche Nebenpflichten und die Abrechnung von Provisionsmodellen umfasst. Die Daten werden gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO verarbeitet. Bei der Einrichtung des Nutzerkontos verarbeitet der Anbieter für die Zwecke der Registrierung die E-Mail-Adresse des Nutzers, die von diesem gewählte Produktvariante, die IP-Adresse und den Zeitpunkt der Registrierung, sowie die für die Abrechnung von kostenpflichtigen S-Trust-Produktvarianten notwendigen Abrechnungsdaten in Abhängigkeit des gewählten Bezahlverfahrens (z. B. IBAN, Anschrift, Kreditkartennummer, CVV, Kartenablaufdatum). Die Zahlungsverkehrsdaten dürfen für Abrechnungszwecke an Payment Service Provider oder sonstige Zahlungsabwickler weitergereicht werden. Darüber hinaus verarbeitet der Anbieter Nutzungsdaten (Auslastung des Speichers für Dokumente und Passworttresor, Frequenz der Besuche).

(3) Für den Fall des Verlusts der Zugangsdaten, welche für eine Anmeldung zu dem jeweiligen S Trust-Account benötigt werden, erzeugt S-Trust einen nur dem Nutzer im Rahmen der Registrierung angezeigten und im Nutzerkonto abrufbaren Wiederherstellungs-Code. Dieser Code dient zur Wiederherstellung der Zugriffsberechtigung bei Verlust der Zugangsdaten und muss gut aufbewahrt werden. Im Falle eines Verlusts des Wiederherstellungs-Codes kann der Account nicht wiederhergestellt werden. Es wird hierfür auch kein Escrow-Verfahren im Sinne des Absatz 6 angeboten.

(4) Die während der Nutzung von S-Trust vom Nutzer in die Anwendung eingestellten Dokumente sind nach dem Stand der Technik verschlüsselt und zu keinem Zeitpunkt – weder für den Anbieter noch für die Sparkassen – einsehbar. Gleiches gilt für das Passwort, das der Nutzer für den sicheren Login benötigt.

(5) Der Nutzer hat die Möglichkeit, einzelne seiner Dokumente über die hierfür in der Anwendung zur Verfügung gestellte Funktionalität für andere Personen gezielt freizugeben und auf diese Weise zu teilen.

(6) Sollte der Anbieter aufgrund von Ansprüchen eines Erben, der Aufforderungen einer Strafverfolgungsbehörde oder in vergleichbaren Fällen zur Herausgabe von Dokumenten verpflichtet sein, ist er gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO zur Verarbeitung der davon betroffenen Daten bzw. Account-Inhalte berechtigt. Dem Anbieter ist es aufgrund der bestehenden S-Trust-Schutzmaßnahmen technisch nicht möglich, eigenständig auf Dokumente im S-Trust-Safe zuzugreifen. Vielmehr kommt in den in Satz 1 genannten Fällen ein streng reglementiertes Key-Escrow-Verfahren zur Anwendung. Das Verfahren sieht vor, dass die Zugangsdaten, die für einen Zugriff und zur Entschlüsselung eines Accounts bei einem unabhängigen Dritten lagern, nur beim Vorliegen mehrerer Voraussetzungen und bei Akzeptanz aller involvierten Prüfstellen an den Anbieter ausgehändigt werden. Für staatliche Stellen sind keine Schlüssel hinterlegt. Erst nach Prüfung und Freigabe eines berechtigten Herausgabeverlangens werden die Zugangsdaten zur einmaligen Verwendung an den Anbieter übermittelt. Im Anschluss an diese Prüfstufe müssen sie von mehreren Personen im 6-Augen-Prinzip in einen speziell für diesen Zweck freigeschalteten Bereich der Anwendung eingegeben werden. Erst dann erfolgt der Zugriff auf den Inhalt eines Accounts. Die Zugangsdaten für das Verfahren werden unmittelbar nach der Verwendung vernichtet. Für die Fälle, dass ein Nutzer sein Passwort vergisst, wird dieses aufwendige Verfahren nicht angeboten.

(7) Alle Maßnahmen der Sicherheit, einschließlich der Verschlüsselung, sind nach dem Stand der Technik umgesetzt. Die Datenübertragung ist mit „https“ gesichert.

(8) Die personenbezogenen Daten werden bis zur Löschung des Nutzerkontos oder bis zu dem Zeitpunkt verarbeitet, in dem für den Anbieter ersichtlich ist, dass einer der sonstigen in Artikel 17 Absatz 1 DSGVO genannten Löschgründe vorliegt und insoweit einer Löschung der Daten keine der in Artikel 17 Absatz 3 DSGVO genannten Gründe, insbesondere gesetzliche Aufbewahrungspflichten oder die Verfolgung eigener Rechtsansprüche entgegenstehen. Die Löschung des Nutzerkontos kann der Nutzer innerhalb des S-Trust-Accounts beantragen (Kündigung). Alternativ kann er der Datenverarbeitung mit dem Widerrufsformular (siehe Anlage zu den AGB) widersprechen (Kündigung durch Beendigung der Datenverarbeitung).

(9) Der Nutzer ist verpflichtet, für die von ihm im S Trust-Safe abgelegten Dokumente die gesetzlichen Aufbewahrungsfristen (z. B. gemäß Steuerrecht, Handelsrecht, Gewerberecht, Sozialrecht) eigenständig einzuhalten und hat zu berücksichtigen, dass der Ausdruck digitaler Dokumente lediglich eine Kopie darstellt und gegebenenfalls rechtlich einem Original nicht gleichgestellt ist. Er hat, sofern erforderlich, Originale aufzubewahren.

(10) Bei der Kündigung von zahlungspflichtigen Zusatzleistungen über den auf der Website angebotenen Kündigungsbutton werden vom Nutzer zur Durchführung der Kündigung über ein Formular folgende Daten verarbeitet: Vorname, Nachname, E-Mail-Adresse, Abo, Vertragsende, Art der Kündigung, Kündigungsgrund. Die Daten werden zum Zwecke der Vertragserfüllung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO verarbeitet.

(11) Widerruf, Widerspruch und Ende der Verarbeitung: Zur Beendigung der Verarbeitung kann das Nutzerkonto gekündigt oder durch den Nutzer über die vorgesehene Möglichkeit im Account gelöscht werden. Die im Account vorhandenen Daten werden aus der Anwendung S-Trust unwiderruflich gelöscht. Die von den Nutzern für die Anmeldung verwendeten Namen oder E-Mail-Adressen werden im Zuge der Account-Löschung anonymisiert. Backups werden für die Dauer von 36 Monaten, Logdateien gemäß den handels- und steuerrechtlichen Vorgaben für die Dauer von 10 Jahren aufbewahrt.

§ 5 Datenverarbeitung für Zwecke der Information und Werbung

(1) Der Newsletter des Anbieters bietet Informationen zur Nutzung von S-Trust. Dies können beispielsweise Informationen über Produktupdates, das Erreichen der Speicherobergrenze, die sichere Vergabe von Passwörtern oder über eine längere Inaktivität des Nutzers sein. Diese Informationen erhalten Nutzer an ihre bei der Erstellung des S-Trust-Kontos hinterlegte E-Mail-Adresse nur, wenn sie der Verwendung der Adresse zu Zwecken der Werbung zuvor nicht widersprochen haben. Der Anbieter hat gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe f DSGVO i. V. m. § 7 Absatz 3 UWG ein berechtigtes wirtschaftliches Interesse daran, dem Nutzer Informationen über die Nutzung von S-Trust zukommen zu lassen. Diesem berechtigten Interesse des Anbieter stehen keine überwiegenden Interessen des Nutzers entgegen, da die Informationen dem Nutzer die Accountverwaltung erleichtern, zur Sicherheit beitragen und sich auf das Produkt S-Trust beschränken.

(3) Informationen über Änderungen der AGB, Änderungen der Datenschutzhinweise oder andere Pflichtinformationen versendet der Anbieter gemäß Art. 6 Abs. 1 Satz 1 Buchstabe c DSGVO. Dem Erhalt dieser Informationen kann aus rechtlichen Gründen nicht widersprochen werden.

§ 6 Datenverarbeitung bei Nutzung der Website

(1) Bei Nutzung der Website werden Daten zwischen dem Client (z. B. dem Browser des Nutzers) und dem Server (Website) ausgetauscht. Für die erforderliche Nachvollziehbarkeit der Kommunikation werden dabei sogenannte Log-Dateien angelegt (vgl. Absatz 2) und mit Hilfe von Google Analytics weitergehende Informationen gewonnen (vgl. § 8).

(2) Der Anbieter speichert in den in Absatz 1 genannten Log-Dateien die vollständige IP-Adresse der Clients für die Dauer von 30 Tagen. Mittels dieser Log-Dateien kann der Anbieter die Aktivitäten auf der Webseite nachvollziehen und so beispielsweise Fehler identifizieren oder Angriffe abwehren. Die Logfiles werden nicht zur regelmäßigen Auswertung des Nutzerverhaltens verwendet und nicht mit anderen Daten zusammengeführt. Die Daten werden aus Gründen der Vertragserfüllung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe b DSGVO und Informationssicherheit gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO verarbeitet.

§ 7 Datenverarbeitung durch technisch notwendige Cookies

(1) Beim Besuch der Website und Nutzung der S-Trust App werden auf dem Rechner des Nutzers Cookies gesetzt. Cookies sind kleine Informationsdateien, die auf dem vom Nutzer verwendeten Endgerät abgelegt werden, insbesondere, um diese Informationen zu einem späteren Zeitpunkt wieder nutzen zu können.

(2) Bei jeder Nutzung werden zur Gewährleistung der Betriebsfähigkeit der Website die nachfolgenden Informationen in Cookies abgelegt: Log-In-Informationen (Session Cookies), damit die Option „Angemeldet-Bleiben“ genutzt werden kann und die Seiteninhalte in einer Weise angeboten werden können, die einem modernen Nutzungserlebnis entspricht sowie Cookies, welche die Sicherheit der Verbindung zum Server erhöhen. Rechtsgrundlage hierfür ist § 25 Abs. 2 Nr. 2 TDDDG.

(3) Cookies werden gemäß den darin hinterlegten Fälligkeitswerten vom Browser des Nutzers automatisiert gelöscht. Nutzer können die Funktionen des Browsers aber auch verwenden, um Cookies gezielt zu löschen.

§  8 Google Analytics & Adobe Customer Journey Analytics

§ 8.1 Google Analytics

Google Analytics ist ein Webanalysedienst der Google Ireland Ltd., Gordon House, Barrow Street, Dublin 4, Irland („Google“), die insoweit als unsere Auftragsverarbeiterin (Art. 28 DSGVO) tätig wird.

Google Analytics verwendet Cookies, die für statistische Zwecke eine Analyse der Benutzung dieser Website durch Sie ermöglichen. Dabei wird stets das Verhalten und die Eigenschaften des Browsers (Seitenaufrufe, Klicks auf Links, Anträge, Einstellungen des Browsers) gemessen. Von Ihnen gemachte Eingaben in Formulare oder andere konkrete Inhalte können nicht erfasst werden. In unserem Auftrag wird Google diese Informationen benutzen, um Reports über die Nutzung der Website zusammenzustellen, die der Reichweitenmessung dienen sowie personalisierte Werbeanzeigen ermöglichen.

Die durch Ihre Benutzung dieser Website erzeugten Informationen können auch an einen Server von Google in den USA übertragen und dort gespeichert werden. Im Rahmen der für diese Website aktivierten IP-Anonymisierung wird jedoch Ihre IP-Adresse von Google vor Speicherung gekürzt. Dadurch können die übermittelten Informationen nicht mehr über die IP-Adresse einer einzelnen Person zugeordnet werden.

Für die Gewährleistung des Datenschutzniveaus bei Verarbeitung in Drittländern (insbesondere auch den USA) hat unsere Dienstleisterin, die Google Ireland Ltd., mit ihren Unterauftragsverarbeitern (insbesondere der Google LLC) Standardvertragsklauseln vereinbart, die auf dem Modul 3 der von der Europäischen Kommission am 04.06.2021 verabschiedeten Standardvertragsklauseln für die Übermittlung personenbezogener Daten in Drittländer beruhen.  https://business.safety.google/adsprocessorterms/sccs/eu-p2p-intra-group/ Die im Rahmen von Google Analytics verarbeiteten und mit Cookies verknüpften Daten werden nach 26 Monaten automatisch gelöscht.

Rechtsgrundlage für die Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO bzw. § 25 Abs. 1 TDDDG.

§ 8.2 Adobe Customer Journey Analytics

Adobe Customer Journey Analytics ist ein Webanalysedienst der Adobe Systems Software Ireland Limited (ADIR), 4-6 Riverwalk, Citywest Business Campus, Saggart, Dublin 24, Irland ("Adobe"), die insoweit als unsere Auftragsverarbeiterin (Art. 28 DSGVO) tätig wird.

Adobe Customer Journey Analytics verwendet Cookies, die für statistische Zwecke eine Analyse der Benutzung der Webseite durch Sie ermöglichen. Dabei wird stets das Verhalten und die Eigenschaften des Browsers (Seitenaufrufe, Klicks auf Links, Einstellungen des Browsers) gemessen. Von Ihnen gemachte Eingaben in Formulare oder andere konkrete Inhalte können nicht erfasst werden. Im Auftrag von S-Communication Services GmbH wird Adobe Customer Journey Analytics diese Informationen benutzen, um Reports über die Nutzung der Website zusammenzustellen, die der Reichweitenmessung dienen.

Ein Zugriff auf die Informationen durch Adobe Systems Incorporated mit Sitz in den USA kann nicht ausgeschlossen werden. Für die Gewährleistung des Datenschutzniveaus bei Verarbeitung in den USA ist die Unterauftragsverarbeiterin Adobe Systems Incorporated unter dem EU-US Data Privacy Framework (https://ec.europa.eu/commission/presscorner/detail/de/ip_23_3721) zertifiziert.

Die im Rahmen von Adobe Customer Journey Analytics verarbeiteten und mit Cookies verknüpften Daten werden nach maximal 2 Monaten automatisch gelöscht.

Rechtsgrundlage für die Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 UAbs. 1 lit. a DSGVO bzw. § 25 Abs. 1 TDDDG.

§ 8.3 YouTube

YouTube ist ein US-amerikanischer Anbieter für Internet-Videos. Auch unser Angebot nutzt solche Videos. Die YouTube LLC ist eine Tochtergesellschaft der Google LLC. Im Folgenden umfasst der Begriff „Google“ die Google LLC und ihre verbundenen Unternehmen.

Bei Einbindung von YouTube-Inhalten sowie bei Nutzung der hierfür von Google bereitgestellten Skripte oder Media-Plugins beschränkt sich die Datenverarbeitung nicht auf den Bereich der YouTube-Plattform, sondern Google kann Informationen aus dem Online-Angebot des Verwenders von Google Services entgegennehmen und für eigene Zwecke weiterverarbeiten. Um dies zu bewerkstelligen, speichert Google Cookies auf Ihrem Endgerät oder nutzt vergleichbare Technologien zur Wiedererkennung von Endgeräten (z. B. Device-Fingerprinting). Google kann auf diese Weise Informationen über Endnutzer des vorliegenden Online-Angebots erhalten. Diese Informationen über die von den Endnutzern abgerufenen Seiteninhalt oder Videoinhalte nebst Zeitstempel und IP-Adresse werden von Google unter anderem für die Erstellung von Videostatistiken, für die Verbesserung der Anwenderfreundlichkeit, zur Verhinderung von Betrugsversuchen und für Werbezwecke – wie bspw. die Anreicherung des DoubleClick-Netzwerks – verwendet. Bei Endnutzern, an ihrem Google-Konto angemeldet sind, kann Google zudem das individuelle Surfverhalten dem persönlichen Endnutzer-Profil zuordnen. Dies können Sie verhindern, indem Sie sich aus Ihrem Google-Konto ausloggen.

Auf Datenverarbeitungen durch Google haben wir keinen Einfluss. Um jedoch die Datenverarbeitung durch Google einzuschränken, nutzen wir YouTube in dem von Google angebotenen erweiterten Datenschutzmodus. Laut Google werden Cookies in diesem Fall erst dann gesetzt und Daten erst dann erhoben und weiterverarbeitet, wenn Endnutzer die Wiedergabe des eingebundenen YouTube-Videos starten.

Wir nutzen YouTube im Interesse einer informativen oder ansprechenden Ausgestaltung unseres Online-Angebots. Dies stellt ein berechtigtes Interesse im Sinne von Art. 6 Abs. 1 Satz 1 Buchst. f DSGVO dar. Sofern wir für die Verarbeitung von Daten für Zwecke der YouTube-Nutzung von den Endnutzern eine Einwilligung einholen, erfolgt die Verarbeitung auf Grundlage von Art. 6 Abs. 1 Satz 1 Buchst. a DSGVO. Werden für YouTube Informationen im Sinne des § 25 Abs. 1 Satz 1 TDDDG gespeichert oder wird auf solche Informationen zugegriffen, holen wir auch hierfür die Einwilligung der Endnutzer ein. Sofern bei Nutzung von Google Business Services Daten in einen Drittstaat übermittelt werden und hierfür kein Angemessenheitsbeschluss oder sonstige Garantie im Sinne der Artikel 44 ff. DSGVO besteht, nimmt Google zudem Standardvertragsklauseln im Sinne des Art. 46 Abs. 2 Buchst. c DSGVO in seine Verträge mit den Verwendern dieser Services auf. 

Mehr über die Datenverarbeitung durch Google erfahren Sie auf der Seite www.youtube.com unter dem Link „Datenschutz“, der Sie auf die Seite  https://policies.google.com/privacy  weiterleitet.  

§ 9 Datenverarbeitung aufgrund behördlicher oder gerichtlicher Anordnung oder zwingender Rechtspflichten

(1) Bevor der Anbieter Daten aufgrund einer behördlichen oder gerichtlichen Anordnung sowie zwingender Rechtspflichten offenlegt, prüft er mit besonderer Sorgfalt, ob die entsprechenden Anforderungen formal wie inhaltlich berechtigt sind.

(2) Rechtsgrundlage: Erfüllung einer rechtlichen Verpflichtung gemäß Artikel 6 Absatz 1 Satz 1 Buchstabe c DSGVO.

(3) Der Umstand der Offenlegung und die wesentlichen Begleitumstände werden zu Beweiszwecken gesondert protokolliert und bis zum Ablauf der diesbezüglichen Verjährungsfristen aufbewahrt, in der Regel für die Dauer von drei Jahren.

§ 10 Rechte betroffener Personen

(1) Werden personenbezogenen Daten verarbeitet, stehen dem Nutzer gegenüber dem Anbieter die in den Absätzen 2 bis 11 genannten Rechte zu.

(2) Nutzer können vom Anbieter eine Bestätigung darüber verlangen, ob personenbezogene Daten, die den Nutzer betreffen, vom Anbieter verarbeitet werden. Liegt eine solche Verarbeitung vor, können Nutzer vom Anbieter über die in Artikel 15 DSGVO genannten Informationen Auskunft verlangen.

(3) Nutzer haben gemäß Artikel 16 DSGVO ein Recht auf Berichtigung oder Vervollständigung ihrer Daten. Der Anbieter wird die Berichtigung unverzüglich vornehmen.

(4) Nutzer können vom Anbieter verlangen, dass die sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, und der Anbieter ist verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der in Artikel 17 Absatz 1 DSGVO genannten Gründe zutrifft und keine der in Artikel 17 Absatz 3 DSGVO genannten Ausnahmen vorliegt.

(5) Unter den in Artikel 18 DSGVO genannten Voraussetzungen und soweit keine Ausnahme nach Artikel 17 Absatz 3 DSGVO vorliegt, können Nutzer die Einschränkung der Verarbeitung der sie betreffenden personenbezogenen Daten verlangen. Wurde die Verarbeitung der einen Nutzer betreffenden personenbezogenen Daten eingeschränkt, dürfen diese Daten – von ihrer Speicherung abgesehen – nur mit der Einwilligung des Nutzers oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person oder aus Gründen eines wichtigen öffentlichen Interesses der Union oder eines Mitgliedstaats verarbeitet werden. Wurde die Verarbeitung nach den o.g. Voraussetzungen eingeschränkt, wird der Nutzer vom Anbieter unterrichtet, bevor die Einschränkung aufgehoben wird.

(6) Hat der Anbieter die den Nutzer betreffenden personenbezogenen Daten öffentlich gemacht und ist er gemäß Artikel 17 Absatz 1 DSGVO zu deren Löschung verpflichtet, so trifft er unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass der Nutzer als betroffene Person vom Anbieter die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.

(7) Haben Nutzer das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung gegenüber dem Anbieter geltend gemacht, ist dieser verpflichtet, allen Empfängern, denen die die Nutzer betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Nutzern steht gegenüber dem Anbieter das Recht zu, über diese Empfänger unterrichtet zu werden.

(8) Nutzer haben das Recht, die sie betreffenden personenbezogenen Daten, die sie dem Anbieter bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Nutzer das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Anbieter zu übermitteln, sofern die Voraussetzungen aus Artikel 20 Absatz 1 Buchstaben a und b DSGVO gegeben sind. In Ausübung dieses Rechts haben Nutzer ferner das Recht, zu erwirken, dass die die Nutzer betreffenden personenbezogenen Daten direkt vom Anbieter einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden. Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Anbieter übertragen wurde.

(9) Widerspruchsrecht: Nutzer haben gemäß Artikel 21 DSGVO das Recht, aus Gründen, die sich aus ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung der sie betreffenden personenbezogenen Daten, die aufgrund von Artikel 6 Absatz 1 Satz 1 Buchstabe e oder f DSGVO erfolgt, Widerspruch einzulegen. Der Anbieter verarbeitet die die Nutzer betreffenden personenbezogenen Daten dann nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der Nutzer überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Werden die, die Nutzer betreffenden personenbezogenen Daten verarbeitet, um Direktwerbung zu betreiben, haben Nutzer das Recht, jederzeit Widerspruch gegen die Verarbeitung der sie betreffenden personenbezogenen Daten zum Zwecke derartiger Werbung einzulegen. Widersprechen Nutzer der Verarbeitung für Zwecke der Direktwerbung, so werden die sie betreffenden personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet. Nutzer haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft ungeachtet der Richtlinie 2002/58/EG ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

(10) Widerruf der Einwilligung: Nutzer haben gemäß Artikel 5 Absatz 3 Satz 1 DSGVO das Recht, ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

(11) Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Nutzern das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat ihres Aufenthaltsorts, ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Artikel 78 DSGVO.

§ 11 Betrieblicher Datenschutzbeauftragter

Betrieblicher Datenschutzbeauftragter ist Herr Jochen Weller bei der Deutscher Sparkassen Verlag GmbH (Am Wallgraben 115, 70565 Stuttgart, Telefon: +49 711 782-21151). Sie erreichen das Team für Datenschutz und Informationssicherheit über unser hierfür zur Verfügung gestelltes  Webformular .