Datenschutz
Nachfolgend informiert Merokey über die Art, den Umfang und die Zwecke der Erhebung von personenbezogenen Daten bei der Verwendung der Smart App zur Nutzung von Mobilitätsdienstleistungen. Die Verarbeitungen von personenbezogenen Daten finden seitens der Merokey GmbH, Grillparzergasse 5, 2603 Felixdorf als Verantwortlicher statt. Für den Datenschutz verantwortlich ist Michael Rödlach (datenschutz@merokey.com).
Allgemeines
Mit Ihrem anonymen Zugriff auf diese Website speichert Merokey Informationen über Ihren Zugriff (Datum, Uhrzeit, betrachtete Seite). Diese Daten dienen ausschließlich statistischen Zwecken und werden nur in anonymisierter Form ausgewertet. Mit einer persönlichen Registrierung werden in weiterer Folge aufgrund Ihrer Registrierung zusätzliche persönliche Daten gspeichert.
CookiesAls Cookies bezeichnet man sehr kleine Dateien, die von einer Website auf den Computer des Besuchers geschrieben werden. Sie können nicht verwendet werden, um andere Daten auf dem Computer auszulesen. Websites setzen Cookies ein, um frühere Benutzereinstellungen wiederherzustellen und den Verlauf von Besucheranfragen nachzuvollziehen. Die Merokey verwendet Cookies, um das Angebot besser an die Bedürfnisse unserer Kunden anzupassen und die Inhalte unserer Websites bestmöglich zu strukturieren. Die Informationen werden auch verwendet, um die Navigationsstruktur weiter zu verbessern und benutzerfreundlicher zu gestalten. Zusätzliche Cookies werden unter Umständen von verschiedenen anderen Anbietern gesetzt, deren Zusatzdienste auf unseren Webseiten angeboten werden. Wir haben keinen Einfluss auf diese Anbieter und nutzen deren Cookies nicht für eigene Zwecke. Standardmäßig werden von jedem Internet-Browser alle Cookies akzeptiert. Sie können Ihren Browser aber anweisen, keine Cookies anzunehmen oder sie nach jeder Internet-Sitzung automatisch zu löschen. Entnehmen Sie bitte die entsprechenden Anweisungen den Support-Seiten Ihres Browser-Herstellers. Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Browser-Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Website vollumfänglich werden nutzen können. Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Website bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem Sie dieses kostenlose Browser-Plugin herunterladen und installieren.
Zweck und Rechtsgrundlage der Verarbeitung nach Registrierung (Vertragsabschluß)
Bereitstellung von Mobilitätsdienstleistungen - Betrieb von Parking Anlagen mit sicheren Schloss-Systemen und Verleihdiensten für Fahrzeuge nach Abschluss eines Vertrages zur Nutzung der Dienstleistungen.
Personenbezogene Daten
Die Merokey erklärt hiermit die Einhaltung der geltenden Datenschutznormen und somit den Schutz der Privatsphäre Ihrer personenbezogenen Daten. Eine Weitergabe von personenbezogenen Daten ohne die Einwilligung des Benutzers ist daher absolut ausgeschlossen. Die von uns durchgeführten Verareitungstätigkeiten können dem Verarbeitungsverzeichnis entnommen werden.
Bei Verwendung der Smart App und damit verbundener Mobilitätsdienste werden die folgenden Daten gespeichert:
-
Personen (Benutzer)
- Namen (Vorname, Nachname, Firmenname, ...)
- Straße (optional)
- Postleitzahl (optional)
- Stadt (optional)
- Land (optional)
- Mailadresse
- Mobiltelefonnummer
- Geburtsdatum (optional)
- Kennwort (verschlüsselt)
- Token zur 2 Stufen Anmeldung
- Anlage und Änderungszeitpunkt
- Rollen und Rechte
-
Abrechnung
- aktuelles Guthaben aus Aufladungen
- Zeitpunkt und Betrag der Aufladung
- Benutzer*innen Informationen wie oben
- Verkettung von eingeladenen Personen (Sharing)
-
Aktivitäten
- durchführende Person
- Zeitpunkt Start
- Zeitpunkt Ende
- Start Schloß bzw. Standort
- Ende Schloß bzs. Standort
- verwendetes Fahrzeug
- verwendetes Guthabenkonto
- verwendetes Abonnement
- gefahrene Distanz
- benutzte Zeit
- angefallene Gebühren
Zur Bestimmung der Position von Betroffenen werden in der Applikation die Positionsdaten des Endgerätes ausgelesen. Der Zugriff auf die Positionsdaten erfolgt prinzipiell nur nach fallbezogener Freigabe durch den Betroffenen. Mittels der Positionsdaten kann die nächstgelegene Einrichtung und die Distanz bis zur Einrichtung ermittelt werden. Wird keine Freigabe für das Auslesen von Positionsdaten gegeben, erfolgt eine Auflistung ohne Reihung und Distanzangabe. Die gelesenen Positionsdaten werden am zentralen System nicht gespeichert.
Zur einfachen Bedienung können Einrichtungen mittels QR Code identifizeirt werden. Hierfür wird die Kamera des Endgerätes eines Betroffenen verwendet. Die Kamera wird nur nach explizieter Freigabe durch den Betroffenen angesprochen. Ohne Freigabe kann die schnelle Identifikation von Einrichtungen nicht verwendet werden. Die von der Kamera gewonnenen Bilder werden am zentralen System nicht gespeichert.
Datenweitergabe / Aufbewahrungspflichten
Rechnungsdaten werden an den Steuerberater der Merokey zur Buchung und Bilanzerstellung weitergegeben. Eine Weitergabe Ihrer persönlichen Daten in nicht anonymer Form ist prinzipiell ausgeschlossen. Im Zuge des Betreibermodells werden anonymisierte Nutzungsdaten an Betreiber weitergegeben. Eine Verarbeitung Ihrer persönlichen Daten über die gesetzlichen Aufbewahrtungsfristen hinaus wird nicht praktiziert. Unter Berücksichtigung der gesetzlichen Vorgaben für ordnungsgemäße Rechungslegung werden Ihre Daten für einen maximalen Zeitraum von 7 Jahren aufbewahrt und im Anschluss gelöscht. Personendaten ohne aktuellem Guthaben und ohne Aktivitäten in den letzten 7 Jahren, werden nach einem Zeitraum von einem Jahr gelöscht. Bitte beachten Sie, dass Ihre Nutzerdaten nach Registrierung und angefallenen Gebühren mit damit verbundener Rechnungslegung erst nach Ablauf der gesetzlichen Aufbewahrungsfrist entfernt werden können.
Betroffenenrechte
Die Betroffenenrechte Widerruf, Löschung, Berichtigung und Auskunft können per Mail (datenschutz@merokey.com) an den Verantwortlichen zum Datenschutz wahrgenommen werden. Zusätzlich sind folgende Informationen zu berücksichtigen:
Widerruf und Löschung
Die Rechte zu Widerruf und Löschung können per Mail an datenschutz@merokey.com in Anspruch genommen werden. Einer Löschung von Daten können nur unter Berücksichtigung der gesetzlich vorgegebenen Aufbewahrungspflichten nachgekommen werden. Eine Deaktivierung der Zugangsdaten kann nur nach Rücküberweisung allfälliger Guthaben bzw. Begleichung offener Forderungen durchgeführt werden. Hierfür ist eine Kontaktaufnahme mit Merokey GmbH notwendig.
Richtigstellung von Daten
Als Betroffener durch die Verwendung der Applikation zur Nutzung von Mobilitätsdiensten von Merokey liegt die Verantwortung für die Richtigstellung von Daten bei Ihnen. Innerhalb der Applikation können Sie jederzeit Ihre Daten korrigieren. Telefonnummern und Mailadressen werden durch das System auf Richtigkeit durch Übermittlung einer SMS oder eines Mails überprüft. Richtigstellung von Aktivitätsdaten erfolgen mitels Mail an datenschutz@mrokey.com und können nur bei Einhaltung gesetzlicher Vorgaben durchgeführt werden.
Datenübertragbarkeit
Die Stammdaten von Betroffenen können jederzeit als CSV Datei den Betroffenen zur Verfügung gestellt werden. Betroffene erhalten Einsicht in historische Aktivitätsdaten und können diese selbst als CSv Datei übertragen.
Auftragsverarbeiter
Alle Aufgaben im Sinne der Datenschutzgrundverordnung werde durch die Merokey GmbH erbracht. Eine Weitergabe von Verantwortlichkeiten an Auftragsverarbeiter unter Errichtung einer Vereinbarung zur Auftragsverarbeitung werden für folgende Bereiche genutzt:
HostingDie Merokey GmbH bedient sich für den Betrieb der Software Plattform der Dienstleistungen von zertifizierten Rechenzentren. Das Hosting sieht dabei einen sicheren Betrieb der Software Plattform inklusive Sicherung und Wiederherstellbarkeit vor.
Unterstützung, Instandhaltung und EntstörungDie Merokey GmbH bedient sich für Instandhaltung und Störung von Systemkomponenten externer Partner. Diese externen Partner können im Bedarfsfall personenbezogene Daten einsehen. Diese Tätigkeiten setzen eine Vereinbarung zur Auftragsverarbeitung voraus uns dind unter Einhaltung der Geheimhaltungsstandards der Merokey GmbH möglich.
Anmerkung Steuerberater:Keine Auftragsverarbeitung, sondern die Inanspruchnahme fremder Fachleistungen bei einem eigenständig Verantwortlichen, für die bei der Verarbeitung (einschließlich Übermittlung) personenbezogener Daten eine Rechtsgrundlage gemäß Art. 6 DSGVO gegeben sein muss, sind beispielsweise in er Regel die Einbeziehung eines Berufsgeheimnisträgers (Steuerberater, Rechtsanwälte, externe Betriebsärzte, Wirtschaftsprüfer), Inkassobüros mit Forderungsübertragung, Bankinstituts für den Geldtransfer, Postdienstes für den Brieftransport, und vieles mehr.
Datenschutz durch Technikgestaltung und Voreinstellungen
Die Merokey GmbH hat alle Vorkehrungen getroffen, um eine datenschutzfreundliche Voreinstellung zu treffen. Datenbestände werden nur so weit als notwendig in den Benutzerdialogen angezeigt. Allfällige Checkboxen zur Bestätitung sind prinzipiell nicht vorausgefüllt. Konstruktive Verbesserungsvorschläge können per Mail an datenschutz@merokey.com gesendet werden.
Risikoanalyse, Folgenabschätzung und Datenschutzpannen
Die Merokey GmbH überprüft zyklisch das Risiko in Verbindung mit der bereitgestellten Software Plattform und wird bei entsprechendem Risikofaktor eine Folgenanalyse durchführen. Dazu zählt auch die rechtzeitige Information der Datenschutzbehörden bei Datenschutzpannen und die fallbezogene Durchführung eine Folgenabschätzung bei einer aufgetretenen Datenschutzpanne. In Abghängigkeit der Ergebnisse er Folgenabschätzung erfolgt eine Verständigung der Betroffenen.
Technische und Organisatorische Maßnahmen (TOM)
Die Merokey GmbH hat entsprechende Maßnahmen zur Wahrung der Betroffenenrechte und Einhaltung der Pflichten eines Verantwortlichen getroffen:
PseudonymisierungLangzeitauswertungen werden nur ohne Personenbezug angeboten. Auswertungen an Partner (Betreiber) werden nur in anonymisierter Form übermittelt.
VerschlüsselungSowohl die zentrale Verwaltung als auch die Benutzerapplikation kommunizieren über eine HTTPS Verbindung und sind damit verschlüsselt. Zwischen Station und Zentrale werden keine personenbezogenen Daten ausgetauscht.
Gewährleistung der VertraulichkeitPersonenbezogene Daten werden nur nach Anmeldung am System (mit 2 Stufen Authentifizierung) verfügbar gemacht. Entsprechend der Rechtevergabe mit den Rollen Administrator, Manager und Nutzer können nur für die Rolle berechtigte Daten eingesehen werden. Ein Zugriff auf die Datenbank ist entsprechend der Einstellungen Administratoren vorbehalten. Es wird eine Whitelist erlaubter IP-Adressen für den Zugriff auf die Datenbank geführt. Ein direkter Login am Betriebssystem des Merokey Systems kann nur mit 2 Faktor Authentifizierung durchgeführt werden.
Gewährleistung der IntegritätDie Datenbestände liegen in einer einzigen Datenbank. Die Software verwendet Datenbanktransaktionen zur Sicherstellung der Datenintegrität. Im Grundsystem gibt es keine Schnittstellen zu Drittsystemen.
Gewährleistung der VerfügbarkeitDas Merokey System wird in einer virtualisierten Umgebung betrieben und als Cloud-Dienst mit entsprechenden Verfügbarkeitsvereinbarungen den Betroffenen zur Verfügung gestellt.
Gewährleistung der Belastbarkeit der SystemeÜber ein Monitoring durch den Hosting Betreiber kann die Systemlast des Merokey Systems überwacht werden. Durch die Virtualisierung des Systems kann eine Skalierung an den Bedarf durchgeführt werden.
Verfahren zur Wiederherstellung der Verfügbarkeit personenbezogener Daten nach einem physischen oder technischen ZwischenfallÜber die Virtualisierung des Systems kann ein zyklisches Systemabbild erstellt werden. So kann auf die Notwendigkeit in Abhängigkeit des Betriebsumfeldes reagiert werden.
Verfahren regelmäßiger Überprüfung, Bewertung und Evaluierung der Wirksamkeit der technischen und organisatorischen MaßnahmenDie regelmäßige Überprüfung und Bewertung der Maßnahmen erfolgt durchk die Merokey GmbH. In Zusammenhang mit dem internen Qualitäts- und Datenschutzmanagement System werden die einzelnen Verarbeitungsschritte zyklisch überprüft.