I. Informationen zur Datenverarbeitung
1. Verantwortliche Stelle und Kontaktdaten des Datenschutzbeauftragten
Der Verantwortliche im Sinne der EU-Datenschutz-Grundverordnung (DSGVO) ist
Bund für Umwelt und Naturschutz Deutschland e.V. (BUND)
Kaiserin-Augusta-Allee 5, D – 10553 Berlin
Tel.: (030) 275 86-40, Fax: (030) 275 86-440
Für Fragen zur Verarbeitung Ihrer personenbezogenen Daten durch den BUND, zum Thema Datenschutz allgemein und zur Geltendmachung Ihrer Betroffenenrechte (z.B. Auskunftsersuchen) wenden Sie sich bitte an die vorgenannte Anschrift oder an die E-Mail-Adresse datenschutz(at)bund.net. Für alle weiteren datenschutzrechtlichen Anliegen können Sie sich über die E-Mail-Adresse datenschutzbeauftragter(at)bund.net direkt an unseren externen Datenschutzbeauftragten wenden.
2. Allgemeines zur Datenverarbeitung
Mit der ToxFox-App können Sie sich über besonders besorgniserregende Stoffe (SVHCs) in Konsumgütern informieren oder SVHC-Anfragen („Giftfragen“) an den entsprechenden Produktanbieter schicken. Dafür ist die ToxFox-App neben der Datenhaltung beim BUND auch an eine Datenbank namens AskREACH angeschlossen, die u.a. SVHC Informationen und Hersteller-Kontaktdaten bereitstellt. Die Verschickung der SVHC-Anfragen („Giftfrage“) an die Produkthersteller wird als Service über AskREACH abgewickelt. Datenbank plus Services bilden das zentrale AskREACH-System. Verantwortliche für das zentrale AskREACH-System ist das Umweltbundesamt (Datenschutzerklärung AskREACH).
Umfang der Verarbeitung personenbezogener Daten
Der BUND verarbeitet personenbezogene Daten der Nutzer/Nutzerinnen der ToxFox-App grundsätzlich nur, soweit dies zur Bereitstellung unserer Inhalte und Leistungen (wie etwa der Bereitstellung von Informationen zu sog. besonders besorgnis erregenden Stoffen („SVHC") durch Anbieter von Verbraucherprodukten erforderlich ist. Die Verarbeitung personenbezogener Daten der Nutzer/Nutzerinnen erfolgt regelmäßig nur nach deren Einwilligung. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist und die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist.
Sofern nicht im Einzelfall in dieser Datenschutzerklärung anders angegeben, findet keine Weitergabe Ihrer Daten an Dritte statt. Eine Verarbeitung und Nutzung Ihrer Daten für Zwecke der Beratung, der Werbung und der Marktforschung erfolgt nicht. Die gespeicherten Daten können im Rahmen ihrer Helpdesk-Aktivitäten von den Administratoren des BUND und des AskREACH-Systems eingesehen werden. Die technischen Administratoren können sie auch einsehen, wenn dies für den Schutz vor Angriffen notwendig ist.
Alle Angaben werden über eine “Secure Sockets Layer”-Verbindung (SSL) verschlüsselt weitergeleitet. Ihre personenbezogenen Daten können bei der Übertragung im Internet von Unbefugten nicht gelesen werden.
Rechtsgrundlage für die Verarbeitung personenbezogener Daten
Rechtsgrundlage einer Verarbeitung personenbezogener Daten ist in der Regel eine Einwilligung der betroffenen Person gemäß Art. 6 Abs. 1 lit. a DSGVO. Jede Verarbeitung personenbezogener Daten ist an Ihre in der App erteilte Zustimmung gebunden.
Datenlöschung und Speicherdauer
Die personenbezogenen Daten werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Eine Speicherung kann darüber hinaus erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft.
3. Bereitstellung der App
Die ToxFox-App kann in den App-Stores von Google und Apple heruntergeladen werden.
Wenn Nutzer/Nutzerinnen die App aus den App-Stores herunterladen, unterliegen sie den Datenschutzrichtlinien von iTunes und GooglePlay. Der BUND hat weder auf die Nutzungsbedingungen noch auf die Inhaber der App-Stores Einfluss. Der BUND übernimmt keine Haftung für Handlungen, die von einem Inhaber eines App-Stores oder von Dritten vorgenommen werden. Der BUND weist Sie hiermit ausdrücklich darauf hin, dass Inhaber von App-Stores Daten archivieren und für kommerzielle Zwecke nutzen. Der BUND hat keine Kenntnis über den Umfang dieser Daten oder die Dauer ihrer Archivierung. Sie sind jedoch gesetzlich berechtigt, vom Inhaber eines App-Stores zu verlangen, Sie darüber zu informieren, welche personenbezogene Daten von Ihnen verarbeitet werden und Sie können alle Ihnen nach der DSGVO zustehenden Rechte geltend machen.
4. Nutzung der App
Umfang der Datenverarbeitung
Bei jedem Zugriff Ihres Smartphones auf den AskREACH-Server erfasst unser System automatisiert Daten und Informationen, einschließlich der IP-Adresse des Nutzers/der Nutzerin oder der Geräte-Identifikationsnummer.
Die Daten werden in den Zugriffsstatistiken („Logfiles“) unseres Systems gespeichert. IP-Adressen und Geräte-IDs sind zum Zweck der Verhinderung von Angriffen und für geografische Zugriffsstatistiken identifizierbar. IP-Adressen/Geräte-IDs werden auch verwendet, um bei Bedarf die Zugriffsraten auf die App/Datenbank zu begrenzen und Denial of Service (DOS)-Angriffe und andere Bedrohungen zu verhindern.
Wenn Sie eine SVHC-Anfrage (Giftfrage) an einen Produktanbieter senden möchten, können Sie selbst Ihren Namen und Ihre E-Mail-Adresse eingeben. Diese Daten werden in der BUND Datenbank und im AskREACH-System so lange gespeichert, wie es für die Bearbeitung der von Ihnen gewünschten App-Aktionen erforderlich ist. Ihr Name, Ihr Wohnsitzland und Ihre E-Mail-Adresse werden auch auf Ihrem Smartphone gespeichert.
Für den Scan der Barcodes unter Android verwendet der ToxFox den im System integrierten Barcode-Scanner. In der auf bund.net zum Download verfügbaren Android-App wird die OpenSource-Bibliothek "zxing" verwendet. In iOS wird der im System integrierte Barcode-Scanner verwendet. Für den Scan greift die Software zur Erkennung des Barcodes auf die Kamera des Smartphones zu, weswegen die entsprechende Berechtigung erteilt werden muss, damit ToxFox funktioniert. Fotos im klassischen Sinne werden nicht erstellt und gespeichert. Es wird lediglich die Information aus dem Barcode extrahiert und an die Datenbank übergeben, um die Produktinformationen zu erhalten.
ToxFox stellt Nutzern den Verlauf getätigter Produktscans zur Verfügung. ToxFox verwendet für die Bereitstellung der Scanhistorie eine ID. Zu dieser werden die Suchanfragen eines Nutzers zentral gespeichert.
Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Absatz. 1 lit. a DSGVO.
Zweck der Datenverarbeitung
Die Logfile-Daten werden im System gespeichert, um die Funktionsfähigkeit des Systems sicherzustellen. Zudem dienen uns die Daten zur Optimierung der ToxFox-App und des AskREACH-Systems und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Die Daten werden in anonymisierter Form statistisch ausgewertet, um den Erfolg der ToxFox-App und des AskREACH-Systems zu dokumentieren.
Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der Serverinformationen an den Computer/das Gerät des Nutzers/der Nutzerin zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers/der Nutzerin für die Dauer der Sitzung gespeichert bleiben. Eine Auswertung der Daten für Marketingzwecke findet nicht statt.
Eine Zusammenführung dieser Daten aus dem Logfile mit ggf. weiteren gespeicherten Daten findet nicht statt. Ein direkter Bezug von der IP-Adresse aus dem Logfile auf Ihre Person ist nicht möglich und wird ausgeschlossen. Die IP-Adresse wird nur bei Angriffen auf die AskREACH-Infrastruktur, bei Verstößen gegen die guten Sitten sowie bei sonstigen illegalen Handlungen, die im Zusammenhang mit der Nutzung der IT-Tools stehen, ausgewertet. Ein Rückschluss aus der IP-Adresse auf Ihre Person ist dabei nur über Ihren Einwahlprovider durch ein staatsanwaltschaftliches Ermittlungsverfahren möglich.
Ob Sie Ihren Namen und Ihre E-Mail-Adresse preisgeben, können Sie über die Eingabe in die App selbst entscheiden. Falls Sie sich dafür entscheiden, können Sie diese jederzeit ändern oder löschen. Wenn Sie eine Anfrage an ein Unternehmen senden, sind nur der von Ihnen eingegebene Name und Ihr Wohnsitzland für die Firma sichtbar, Ihre E-Mail-Adresse wird nicht weitergegeben (siehe im Detail im Folgenden). Ihr Name soll dem Unternehmen zeigen, dass hinter der Anfrage eine echte Person steckt. Das Land wird angegeben, damit das Unternehmen Ihnen in der entsprechenden Sprache antworten kann. Nach dem Absenden Ihrer Anfrage können die folgenden Fälle auftreten:
- Eingabe der gewünschten Informationen durch das Unternehmen in die zentrale AskREACH-Datenbank, die die Grundlage für die Informationen in der App bildet. Sie erhalten dann die entsprechenden Informationen vom System – das Unternehmen hat Ihre E-Mail-Adresse nicht erhalten
- Das Unternehmen sendet die Informationen per E-Mail an den AskREACH-Server, der sie dann an Sie weiterleitet. Auch in diesem Fall, bekommt das Unternehmen Ihre Kontaktdaten nicht.
- Einige Unternehmen wollen unser System nicht nutzen, sondern ihre Kunden direkt kontaktieren. In diesem Fall wird Sie unser System entsprechend informieren und Sie werden gebeten, Ihre Anfrage per E-Mail direkt an das Unternehmen zu senden. Sie können also selbst entscheiden, ob Sie ihre Kontaktdaten preisgeben oder auf die Anfrage verzichten.
Die Datenerfassung von Scandit findet über die Kamera des Smartphones statt, die entsprechende Berechtigung muss erteilt werden. Fotos werden nicht erstellt und gespeichert. Es wird lediglich die Information extrahiert und von Scandit weiterverarbeitet.
Die Daten für die Scan-Historie werden nur verarbeitet, um den Nutzern einen Überblick über Scans und eventuell gefundene Probleme zu geben und stellen einen wesentlichen Funktionsbestandteil der Anwendung dar.
Dauer der Speicherung
Alle persönlichen Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Ihr Name und Ihre E-Mail-Adresse werden nur in Verbindung mit Ihren Anfragen gespeichert und maximal 60 Tage lang (Pufferzeit für potenzielle Nachfragen). Sie werden im System pseudonymisiert und nur für anonyme Statistiken verwendet.
Bei der Speicherung personenbezogener Daten in Logfiles (Online-Identifikatoren wie IP-Adressen und eindeutige Geräte-IDs) werden diese spätestens nach zwei Wochen gelöscht. Eine längere Speicherung ist möglich in Fällen von böswilligem Verhalten und wenn zukünftiger Zugriff verhindert werden soll. In diesem Fall werden die IP-Adressen der Nutzer/Nutzerinnen (soweit für den Zweck möglich) gelöscht oder verfremdet, so dass eine Zuordnung des anrufenden Clients nicht mehr möglich ist.
Die Daten der Scan-Historie können jederzeit durch die Nutzer gelöscht werden.
5. Datenübermittlung in Drittländer (außerhalb der EU)
Im Hinblick auf die meisten Länder außerhalb der EU ist keine Angemessenheitsentscheidung der EU-Kommission nach Art. 45 DSGVO verfügbar. Eine Datenverarbeitung ist daher nur mit Zustimmung der betroffenen Personen möglich. Solche Datenübermittlungen ohne Angemessenheitsentscheidung und entsprechende Garantien sind mit Risiken verbunden. Anfragen, die Sie an Produktanbieter in solchen Ländern senden, enthalten Ihren Namen und Ihr Wohnsitzland, aber keine weiteren personenbezogenen Daten. In den meisten Ländern außerhalb der EU gibt es keine Gesetzgebung, die der EU-Verordnung (EG) Nr. 1907/2006 (EU-Chemikalienverordnung) in der jeweils geltenden Fassung ähnelt. Unternehmen aus diesen Ländern sind daher nicht verpflichtet, auf Verbraucheranfragen zu reagieren.
6. Push-Benachrichtigungen
Sie haben die Möglichkeit, in der App Push-Benachrichtigungen zu einzelnen Themen zu aktivieren und auch wieder zu deaktivieren. Im Falle der Aktivierung werden Ihre IP-Adresse sowie die gewählten Themen an Server von „Google“ (Google LLC, Google Ireland Limited, Google Asia Pacific Pte. Ltd.) gesendet, die den in Android integrierten Push-Dienst „Firebase Cloud Messaging“ sowie unter iOS an Server der Firma Apple, die den Dienst „Apple Push Notification Services“ betreibt. Die Rechtsgrundlage hierfür bildet Ihre Einwilligung nach Artikel 6 Abs. 1 Buchst. a DSGVO. In diesen Fällen können Daten ohne geeignete Garantien i.S.d. Art. 46 DSGVO an alle Google- bzw. Apple-Rechenzentren (auch in Nicht-EU-Ländern ohne angemessenes Datenschutzniveau, insbesondere USA) übertragen werden. Mit Urteil vom 16.07.2020, Az.: C-311/18 („Schrems II“) hat der EuGH festgestellt, dass in den USA kein angemessenes Datenschutzniveau gewährleistet werden kann. Es besteht dort zum einen das Risiko eines Zugriffs auf die auf die übertragenen Daten durch US-Sicherheitsbehörden ohne, dass eine Möglichkeit vorgesehen ist, wirksame Rechtsbehelfe einzulegen. Zum anderen fehlen durchsetzbare Betroffenenrechte. Die Übermittlung erfolgt daher nur im Rahmen Ihrer Einwilligung nach Art. 6 Absatz. 1 lit. a DSGVO bei der Aktivierung von Push-Benachrichtigungen auf Grundlage des Art. 49 Abs. 1 Buchst. a) DSGVO. – Weitere Informationen zum Datenschutz der Firma Google
7. Absturzberichte
Wir sind daran interessiert, die Dienste und Funktionen der ToxFox-App kontinuierlich zu verbessern. Wir verwenden deshalb den Dienst Sentry der Functional Software Inc., 132 Hawthorne Street, San Francisco, California 94107, um die technische Stabilität unseres Dienstes durch Überwachung der Systemstabilität und Ermittlung von Codefehlern zu verbessern. Zur Reaktion auf Abstürze werden die Betriebssystem-ID, das verwendete Betriebssystem/Browser und Absturz-Informationen erfasst und anschließend wieder gelöscht.
Die Rechtsgrundlage hierfür bildet Ihre Einwilligung nach Artikel 6 Abs. 1 Buchst. a DSGVO. In diesen Fällen können Daten ohne geeignete Garantien i.S.d. Art. 46 DSGVO an alle Google- bzw. Apple-Rechenzentren (auch in Nicht-EU-Ländern ohne angemessenes Datenschutzniveau, insbesondere USA) übertragen werden. Mit Urteil vom 16.07.2020, Az.: C-311/18 („Schrems II“) hat der EuGH festgestellt, dass in den USA kein angemessenes Datenschutzniveau gewährleistet werden kann. Es besteht dort zum einen das Risiko eines Zugriffs auf die übertragenen Daten durch US-Sicherheitsbehörden ohne, dass eine Möglichkeit vorgesehen ist, wirksame Rechtsbehelfe einzulegen. Zum anderen fehlen durchsetzbare Betroffenenrechte. Die Übermittlung erfolgt daher nur im Rahmen Ihrer Einwilligung nach Art. 6 Absatz. 1 lit. a) DSGVO im Rahmen des Downloads der App auf Grundlage des Art. 49 Abs. 1 Buchst. a) DSGVO. – Mehr Informationen zum Umgang mit Nutzerdaten finden Sie in der Datenschutzerklärung von Sentry
8. Newsletter
Wenn Sie in der ToxFox-App anklicken, dass Sie den kostenlosen Newsletter des BUND erhalten möchten, werden Sie auf die BUND-Website weitergeleitet, wo Sie den Newsletter abonnieren können. Informationen zum abonnementbezogenen Datenschutz finden Sie in der Datenschutzerklärung auf der BUND-Website.
9. E-Mail-Kontakt
Beschreibung und Umfang der Datenverarbeitung
Sie können dem BUND per E-Mail Fragen über die App oder über erhaltene Antworten von Unternehmen stellen. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten vom BUND gespeichert.
Ohne Ihre gesonderte Zustimmung erfolgt keine Weitergabe der Daten an Dritte (Ausnahme: technischer Administrator und regionale Administratoren). Ihre Einwilligung wird wie in Abschnitt 2 beschrieben gespeichert. Der BUND und die technischen Administratoren werden die Daten ausschließlich für die Verarbeitung der Kommunikation verwenden und dann löschen oder anonymisieren.
Rechtsgrundlage für die Datenverarbeitung
Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail übermittelt werden, ist Art. 6 Abs. 1 lit. f DSGVO.
Zweck der Datenverarbeitung
Die Verarbeitung der personenbezogenen Daten dient der Beantwortung Ihrer Fragen an uns.
Dauer der Speicherung
Die Speicherung Ihrer Fragen und Antworten in elektronischen Dateien des regionalen App Administrators kann bis zu 60 Tage andauern.
10. Ihre weiteren Datenschutzrechte
Folgende weiteren Rechte stehen Ihnen als Betroffener vom Grundsatz her und, sofern vertragliche und gesetzliche Pflichten dem nicht entgegenstehen, zu:
- Recht auf Auskunft (Art. 15 DSGVO) mit den Einschränkungen nach §§ 34, 35 BDSG n.F.;
- Recht auf Berichtigung von unrichtigen Daten (Art. 16 DSGVO);
- Recht auf Löschung (Art. 17 DSGVO) mit den Einschränkungen nach §§ 34, 35 BDSG n.F.;
- Recht auf Einschränkung der Verarbeitung personenbezogener Daten (Art. 18 DSGVO);
- Recht auf Datenübertragbarkeit (Art. 20 DSGVO);
- Recht auf Beschwerde bei einer Datenschutz-Aufsichtsbehörde (Art. 77 DSGVO);
- ein einzelfallbezogenes Widerspruchsrecht (Art. 21 Abs. 1 DSGVO) aus Gründen, die sich aus Ihrer besonderen Situation ergeben und eine Datenverarbeitung nach Art. 6 Abs.1 lit. e und Art. 6 Abs.1 lit. f DSGVO betreffen.
II. Haftungsausschluss
1. Inhalt der IT-Tools
Der BUND übernimmt keinerlei Gewähr für die Aktualität, Korrektheit, Vollständigkeit oder Qualität der Inhalte der AskREACH-IT-Tools. Haftungsansprüche gegen den BUND, welche sich auf Schäden materieller oder ideeller Art beziehen, die durch die Nutzung oder Nichtnutzung der über die IT-Tools dargebotenen Informationen bzw. durch die Nutzung fehlerhafter oder unvollständiger Informationen, die über die IT-Tools dargeboten werden, verursacht wurden, sind grundsätzlich ausgeschlossen, sofern seitens des BUND kein nachweislich vorsätzliches oder grob fahrlässiges Verschulden vorliegt.
Alle Angebote sind freibleibend und unverbindlich. Der BUND behält ausdrücklich vor, jeden Aspekt der IT-Tools und/oder deren Inhalte ohne gesonderte Ankündigung ganz oder teilweise nach eigenem Ermessen zu ändern oder das Angebot zeitweise oder endgültig einzustellen.
2. Verweise und Links
Bei direkten oder indirekten Verweisen auf fremde Webseiten („Hyperlinks″), die in den AskREACH-IT-Tools verwendet werden und außerhalb des Verantwortungsbereiches des BUND liegen, würde eine Haftungsverpflichtung ausschließlich in dem Fall in Kraft treten, in dem der BUND von den Inhalten Kenntnis hat und es dem BUND technisch möglich und zumutbar wäre, die Nutzung im Falle rechtswidriger Inhalte zu verhindern. Der BUND erklärt hiermit ausdrücklich, dass zum Zeitpunkt der Linksetzung keine illegalen Inhalte auf den zu verlinkenden Seiten erkennbar waren. Auf die aktuelle und zukünftige Gestaltung, die Inhalte oder die Urheberschaft der verlinkten/verknüpften Seiten hat der BUND keinerlei Einfluss. Deshalb distanzieren wir uns hiermit ausdrücklich von allen Inhalten aller verlinkten/verknüpften Seiten, die nach der Linksetzung verändert wurden. Dies gilt für alle in den IT-Tools gesetzten Links und Verweise sowie für alle Einträge Dritter. Für illegale, fehlerhafte oder unvollständige Inhalte und insbesondere für Schäden, die aus der Nutzung oder Nichtnutzung solcherart dargebotener Informationen entstehen, haftet allein der Anbieter der Seite, auf welche verwiesen wurde, nicht derjenige, der über Links auf die jeweilige Veröffentlichung lediglich verweist. Internetseiten Dritter, die über externe Links erreicht werden, sind eventuell nicht barrierefrei gestaltet. Bitte beachten Sie auch, dass eine Verlinkung zu dieser Anwendung keinen Anspruch auf gegenseitige Verlinkung begründet.
3. Urheber- und Kennzeichenrecht
Der BUND ist bestrebt, in allen AskREACH-IT-Tools die Urheberrechte der verwendeten Grafiken, Tondokumente, Videosequenzen und Texte zu beachten, von ihm selbst oder AskREACH erstellte Grafiken, Tondokumente, Videosequenzen und Texte zu nutzen oder auf lizenzfreie Grafiken, Tondokumente, Videosequenzen und Texte zurückzugreifen. Alle in den IT-Tools genannten und ggf. durch Dritte geschützten Marken- und Warenzeichen unterliegen uneingeschränkt den Bestimmungen des jeweils gültigen Kennzeichenrechts und den Besitzrechten der jeweiligen eingetragenen Eigentümer. Allein aufgrund der bloßen Nennung ist nicht der Schluss zu ziehen, dass Markenzeichen nicht durch Rechte Dritter geschützt sind. Das Copyright für veröffentlichte, vom BUND oder AskREACH selbst erstellte Objekte bleibt allein beim BUND und den bearbeitenden Mitarbeiterinnen und Mitarbeitern der IT-Tools.
4. Rechtswirksamkeit dieses Haftungsausschlusses
Dieser Haftungsausschluss ist als Teil der ToxFox-App zu betrachten. Sofern Teile oder einzelne Formulierungen dieses Textes der geltenden Rechtslage nicht, nicht mehr oder nicht vollständig entsprechen sollten, bleiben die übrigen Teile des Dokumentes in ihrem Inhalt und ihrer Gültigkeit davon unberührt.
Stand: September 2022