Datenschutzinformation für die heinrich-APP – Deutsch

Name und Anschrift des Verantwortlichen

Verantwortlicher ist die Stelle, die allein -oder gemeinsam mit anderen- über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

NETHINKS GmbH

Vertreten durch: Uwe Bergmann, Bastian Marmetschke

Rabanusstraße 14-16 | 36037 Fulda | Deutschland

Tel.: +49 661 25000 0 | E-Mail: info@nethinks.com | Internetseite: www.nethinks.com

Name und Anschrift des Datenschutzbeauftragten

Wir haben einen externen Datenschutzbeauftragten bestellt:

BerIsDa GmbH | Internetseite: www.berisda.de

Sie erreichen den Datenschutzbeauftragten postalisch unter NETHINKS GmbH z. Hd. des Datenschutzbeauftragten, Rabanusstraße 14-16, 36037 Fulda oder per E-Mail unter
datenschutz@berisda.de.

I.              Allgemeines zur Datenverarbeitung

1.    Umfang der Verarbeitung personenbezogener Daten

Der Verantwortliche erhebt und verwendet personenbezogene Daten seiner Nutzer (nachfolgend auch „Betroffener“, „betroffene Person“ oder „Besucher“) grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen App sowie zur Darstellung der Inhalte und Leistungen erforderlich ist. Die Erhebung und Verarbeitung personenbezogener Daten der Nutzer zu anderen Zwecken erfolgt regelmäßig nur nach Einwilligung des Nutzers. Eine Ausnahme gilt in solchen Fällen, in denen eine vorherige Einholung einer Einwilligung aus tatsächlichen Gründen nicht möglich ist, die Verarbeitung aufgrund vorvertraglicher oder vertraglicher Maßnahmen erfolgt, die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist und/oder ein berechtigtes Interesse des Verantwortlichen an der Verarbeitung vorliegt.

Ihre personenbezogenen Daten werden grundsätzlich direkt bei Ihnen erhoben, bspw. wenn Sie uns kontaktieren, in Dienste in dieser App einwilligen oder Formulare in dieser App nutzen. Darüber hinaus werden technische Daten, die für den Betrieb der App zwingend erforderlich sind, automatisch bei Installieren und Nutzen der App erfasst.

2.    Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit der Verantwortliche für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholt, dient Art. 6 Abs. 1 S. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage für die Verarbeitung personenbezogener Daten. Für eine etwaige Übermittlung in ein nicht-sicheres Drittland erfolgt die Verarbeitung auf Grundlage von Art. 49 Abs. 1 S. 1 lit. a DSGVO. Sofern Sie in die Speicherung von Cookies oder in den Zugriff auf Informationen in Ihr Endgerät eingewilligt haben, erfolgt die Datenverarbeitung zusätzlich auf Grundlage von § 25 Abs. 1 TDDDG.

Bei der Verarbeitung von personenbezogenen Daten, die zur Erfüllung eines Vertrages, dessen Vertragspartei die betroffene Person ist, erforderlich ist, dient Art. 6 Abs. 1 S. 1 lit. b DSGVO als Rechtsgrundlage. Dies gilt auch für Verarbeitungsvorgänge, die zur Durchführung vorvertraglicher Maßnahmen erforderlich sind.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung, der der Verantwortliche unterliegt, erforderlich ist, dient Art. 6 Abs. 1 S. 1 lit. c DSGVO als Rechtsgrundlage.

Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 S. 1 lit. d DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses des Verantwortlichen oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 S. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

Sofern besondere Datenkategorien nach Art. 9 Abs. 1 DSGVO verarbeitet werden, gilt eine oder mehrere der in diesem Abschnitt genannten Rechtsgrundlagen i.V.m. mit einer oder mehreren Ausnahmeregelungen aus Art. 9 Abs. 2 DSGVO als Rechtsgrundlage. Werden Daten auf Basis einer der hier genannten Rechtsgrundlagen i.V.m. Art. 9 Abs. 2 DSGVO verarbeitet, findet sich ein gesonderter Hinweis bei der jeweiligen Verarbeitung (Textblock).

3.    Datenlöschung und Dauer der Verarbeitung

Wenn innerhalb dieser Datenschutzinformation keine genaue Speicherdauer angegeben wurde, verbleiben die personenbezogenen Daten unserer Appnutzer bei uns, bis der Zweck für die Datenverarbeitung entfällt. Die personenbezogenen Daten der betroffenen Person werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt oder eine erteilte Einwilligung durch die betroffene Person widerrufen wird, oder der Verarbeitung widersprochen wird. Eine Speicherung kann darüber hinaus dann erfolgen, wenn dies durch den europäischen oder nationalen Gesetzgeber in unionsrechtlichen Verordnungen, Gesetzen oder sonstigen Vorschriften, denen der Verantwortliche unterliegt, vorgesehen wurde. Eine Sperrung oder Löschung der Daten erfolgt auch dann, wenn eine durch die genannten Normen vorgeschriebene Speicherfrist abläuft, es sei denn, dass eine Erforderlichkeit zur weiteren Speicherung der Daten für einen Vertragsabschluss oder eine Vertragserfüllung besteht.

4.    Datenübermittlung an ein Drittland oder eine internationale Organisation

Die Europäische-Datenschutzgrundverordnung (DSGVO) setzt voraus, dass die Übermittlung personenbezogener Daten, die bereits verarbeitet werden oder nach ihrer Übermittlung an ein Drittland oder eine internationale Organisation verarbeitet werden sollen, nur zulässig ist, wenn ein mit den Vorgaben der DSGVO vergleichbares Datenschutzniveau gewährleistet ist. Wenn also sichergestellt ist, dass die Bestimmungen der DSGVO eingehalten werden – dazu kann beispielsweise das Vorliegen eines Angemessenheitsbeschlusses der EU-Kommission i.S.d. Art. 45 Abs. 1, 3 DSGVO oder die Einführung unternehmensinterner, von einer Aufsichtsbehörde genehmigter Datenschutzvorschriften (sog. „geeignete Garantien“, Art. 46 Abs. 2, 3 DSGVO) zählen. Besteht kein mit den Vorgaben der DSGVO vergleichbares Datenschutzniveau, können Risiken bei der Verarbeitung in einem Drittland bestehen.

Risiken einer Übermittlung in ein nicht sicheres Drittland: Personenbezogene Daten könnten möglicherweise über den eigentlichen Zweck der Auftragserfüllung hinaus durch den Anbieter an andere Dritte weitergegeben werden, die die Daten bspw. zu Werbezwecken verwenden. Zudem ist eine effektive Durchsetzung etwaiger Betroffenenrechte gegenüber dem Anbieter voraussichtlich nicht möglich. Es besteht ggfls. eine höhere Wahrscheinlichkeit, dass es zu einer nicht korrekten Datenverarbeitung kommen kann, da die technischen und organisatorischen Maßnahmen des Anbieters zum Schutze personenbezogener Daten quantitativ und qualitativ nicht vollumfänglich den Anforderungen der DSGVO entsprechen. Es ist zudem möglich, dass staatliche Stellen, ohne dass die betroffene Person davon erfährt, auf die bereitgestellten personenbezogenen Daten zugreifen. Dies entspricht im Grundsatz auch den europäischen, gesetzlichen Regelungen, bspw. zum Zweck der Gefahrenabwehr. Jedoch ist die Zulässigkeitsschwelle für derartige Datenverarbeitungen in der Europäischen Union höher als in dem betroffenen Land des Datenempfängers. Zusammengefasst besteht in nicht-sicheren Drittländer kein mit den Vorgaben der DSGVO vergleichbares Datenschutzniveau.

Wir verwenden in unserer App unter anderem Tools von Anbietern deren Hauptsitz oder der Hauptsitz des Mutterkonzern (bzw. deren verbundener Unternehmen) aus Datenschutzsicht in einem Drittland liegt. Wir übermitteln darüber hinaus auch Daten in die USA. Eine Übermittlung der Daten in die USA ist zulässig, wenn der Empfänger eine Zertifizierung unter dem „EU-US Data Privacy Framework“ (DPF) besitzt oder über geeignete zusätzliche Garantien verfügt. Das DPF ist ein (individuelles) Übereinkommen zwischen der Europäischen Union und den USA, welches die Einhaltung europäischer Datenschutzstandards bei Datenverarbeitungen in den USA gewährleisten soll. Jedes nach dem DPF-zertifizierte Unternehmen verpflichtet sich, diese Datenschutzstandards einzuhalten. Die Liste der zertifizierten Unternehmen finden Sie unter: https://www.dataprivacyframework.gov/list. Dort können Sie nach dem Anbietername suchen und die Zertifizierung direkt einsehen.  Werden Daten an einen Anbieter, der nach dem DPF zertifiziert ist, übermittelt, findet sich ein gesonderter Hinweis bei dem jeweiligen Dienstanbieter.

5.    Erforderlichkeit der Bereitstellung personenbezogener Daten

Die Bereitstellung Ihrer personenbezogenen Daten ist grundsätzlich weder gesetzlich noch vertraglich vorgeschrieben. Eine Verpflichtung zur Bereitstellung besteht nicht. Die Nichtbereitstellung kann jedoch dazu führen, dass Sie Funktionen, Dienste, Formulare und weitere Verarbeitungen in unserer App nicht in Anspruch nehmen können. Wir empfehlen Ihnen nur solche personenbezogenen Daten anzugeben, die bspw. zur Bearbeitung Ihrer Anfrage, zur Durchführung Ihres gewünschten Angebots und zur Nutzung unserer angebotenen Funktionen erforderlich sind. Falls die Bereitstellung Ihrer personenbezogenen Daten gesetzlich oder vertragliche vorgeschrieben ist, informieren wir Sie hierüber durch einen gesonderten Hinweis bei der jeweiligen Verarbeitung in dieser Datenschutzinformation.

Die Erfassung technischer Daten (und u.U. die Erfassung Ihrer IP-Adresse als personenbezogenes Datum) zur Bereitstellung der App und die Speicherung der Daten in Logfiles ist für den Betrieb der App zwingend erforderlich und erfolgt automatisch bei Nutzung dieser App. Wenn Sie dies nicht wünschen, dann müssen Sie die App schließen bzw. deinstallieren.

II.            Rechte der betroffenen Person

Wenn wir personenbezogene Daten von Ihnen verarbeiten, haben Sie als Betroffener folgende Rechte gegenüber uns als Verantwortlichen:

1.    Recht auf Auskunft, Art. 15 DSGVO

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit das Recht auf (unentgeltliche) Auskunft über Ihre erhobenen und gespeicherten personenbezogenen Daten. Dazu gehört u.a. auch die Auskunft über deren Verarbeitungszwecke, deren Herkunft und Empfänger, die Speicherdauer sowie das Bestehen verschiedener Rechte.

2.    Recht auf Berichtigung, Art. 16 DSGVO

Sie haben gegenüber dem Verantwortlichen ein Recht auf Berichtigung (auch im Sinne einer Vervollständigung) Ihrer Daten, sofern die verarbeiteten personenbezogenen Daten, die Sie betreffen, unrichtig oder für den Zweck der Verarbeitung unvollständig sind. Der Verantwortliche hat die Berichtigung unverzüglich vorzunehmen.

3.    Recht auf Löschung, Art. 17 DSGVO

Sie können unter den Bedingungen des Art. 17 DSGVO jederzeit die Löschung Ihrer personenbezogenen Daten verlangen, es sei denn, dass noch Umstände zum Tragen kommen, die den Verantwortlichen berechtigen oder verpflichten, Ihre personenbezogenen Daten weiterhin zu verarbeiten (wie bspw. gesetzliche Aufbewahrungspflichten).

4.    Recht auf Einschränkung der Verarbeitung, Art. 18 DSGVO

Bei Vorliegen der gesetzlichen Voraussetzungen können Sie im Umfang von Art. 18 DSGVO eine Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.

5.    Recht auf Unterrichtung, Art. 19 DSGVO

Wurden Ihre personenbezogenen Daten von Empfängern verarbeitet, an welche der Verantwortliche die Daten offengelegt hat, so ist der Verantwortliche verpflichtet, diese über Ihre Forderungen bezüglich Berichtigung, Löschung oder Einschränkung der Verarbeitung, zu informieren, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden. Sie können verlangen, dass der Verantwortliche Sie über diese Empfänger informiert.

6.    Recht auf Datenübertragbarkeit, Art. 20 DSGVO

Haben Sie uns personenbezogene Daten bereitgestellt, und erfolgt eine automatisierte Verarbeitung auf Grundlage Ihrer Einwilligung oder auf Grundlage eines Vertrags so haben Sie im Umfang von Art. 20 DSGVO ein Recht auf Übertragung der von Ihnen bereitgestellten Daten, sofern dadurch nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden. Die Bereitstellung erfolgt in einem gängigen, maschinenlesbaren Format. Sofern Sie die direkte Übertragung der Daten an einen anderen Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.

7.    Widerspruchsrecht, Art. 21 DSGVO

Sie haben das Recht, jederzeit der Verarbeitung Ihrer Daten zu widersprechen, sofern die Verarbeitung auf Grundlage einer Interessensabwägung vorgenommen wird. Dies ist der Fall, wenn sich der Verantwortliche zur Verarbeitung auf das öffentliche Interesse oder sein berechtigtes Interesse beruft (siehe Art. 6 Abs. 1 S. 1 lit e und f). Voraussetzung ist, dass Sie Gründe, die sich aus ihrer besonderen Situation ergeben, geltend machen, welche das Interesse des Verantwortlichen überwiegen. Der Verantwortliche verarbeitet die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

In Art. 21 Abs. 2 DSGVO findet sich eine spezielle, abweichende Regelung, wenn die Sie betreffenden personenbezogenen Daten für Direktwerbung genutzt werden. Hier haben Sie ohne weitere Voraussetzungen jederzeit das Recht, Widerspruch gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten einzulegen. Die Sie betreffenden personenbezogenen Daten werden nicht mehr für den Zweck der Direktwerbung verarbeitet. Soweit mit der Direktwerbung ein Profiling in Verbindung steht, können Sie diesem ebenso widersprechen.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

8.    Automatisierte Entscheidung im Einzelfall, Art. 22 DSGVO

Sie haben gemäß Art. 22 DSGVO das Recht, dass Entscheidungen die Ihnen gegenüber rechtlicher Wirkung entfalten, oder Sie in ähnlicher Weise beeinträchtigen, nicht ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen. Ausnahmen können bestehen, wenn angemessene Maßnahmen für den Schutz Ihrer Person gewährleistet sind, und es notwendige vertragliche Regelungen oder eine Rechtsvorschrift gibt oder Sie ausdrücklich eingewilligt haben.

9.    Recht auf Widerruf Ihrer Einwilligung, Art. 7 Abs. 3 DSGVO

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Sie können den Widerruf per E-Mail oder per Post an den Verantwortlichen übermitteln.

10. Recht auf Beschwerde bei einer Aufsichtsbehörde

Unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsbehörde für den Datenschutz, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, zu, wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt.

Die für uns zuständige Aufsichtsbehörde ist Der Hessische Beauftragte für Datenschutz und Informationsfreiheit. Wenn Sie sich in einem anderen Bundesland oder nicht in Deutschland aufhalten, können Sie sich aber auch an die dortige Datenschutzbehörde wenden.

III.          SSL/TLS-Verschlüsselung

Diese App nutzt aus Gründen der Sicherheit und zum Schutz der Übertragung vertraulicher Inhalte, wie zum Beispiel der Anfragen, die Sie als betroffene Personen an uns als Appbetreiber senden, eine SSL/TLS-Verschlüsselung. Eine verschlüsselte Verbindung lässt sich daran erkennen, dass die Adresszeile des Browsers von „http://“ auf „https://“ wechselt sowie an dem Schloss-Symbol in der Browserzeile. Wenn die SSL/TLS-Verschlüsselung aktiviert ist, können die Daten, die Sie an uns übermitteln, nicht von Dritten mitgelesen werden.

IV.          Entwicklung und Betrieb der App

1.    Beschreibung und Umfang der Datenverarbeitung

Die heinrich App dient zur Nutzung Ihrer heinrich Telefonielösung auf einem mobilen Endgerät. Das Hosting findet je nach Auswahl innerhalb Ihres Unternehmens bzw. als Hosting über Nethinks in einem Rechenzentrum statt. Für die Nutzung des Push-Dienstes nutzen wir standardmäßig den Push Dienst eines externen Anbieters. Dabei werden die SIP- Zugangsdaten des Nutzers verwendet, damit die Push-Benachrichtigungen funktionieren. Diese werden sicher an den Push-Server übertragen und verwendet, um das Konto zu registrieren und alle eingehenden Anrufe und Nachrichten über Push-Benachrichtigungen an das Gerät weiterzuleiten. Beachten Sie, dass diese Informationen nicht erfasst werden, wenn Sie sich dafür entscheiden, Push-Benachrichtigungen für eingehende Anrufe nicht zu verwenden (in der App konfigurierbar). Zur Authentifizierung wird standardmäßig ein Proxy-Server von Nethinks verwendet. Hierbei kann es sich v.a. um IP-Adressen, Kontaktanfragen, Meta- und Kommunikationsdaten, Vertragsdaten, Kontaktdaten, Namen, Seitenzugriffe und sonstige Daten, die über eine App generiert werden, handeln.

Innerhalb der heinrich-App wird lokal auf dem Endgerät eine Anrufhistorie angelegt.

2.    Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Datenverarbeitung ist Art. 6 Abs. 1 S. 1 lit. f DSGVO für die Bereitstellung der App.

3.    Zweck der Datenverarbeitung

Der Einsatz des Hosters erfolgt zum Zwecke einer sicheren, schnellen und effizienten Bereitstellung unseres Online-Angebots sowie die zuverlässige Darstellung und Bereitstellung unserer App durch einen professionellen Anbieter. In diesen Zwecken liegt unser berechtigtes Interesse.

4.    Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der App ist dies der Fall, wenn die jeweilige Sitzung beendet ist.

Die Erfassung der Daten zur Bereitstellung der App und die Speicherung der Daten in Logfiles ist für den Betrieb der App zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit

5.    Abschluss eines Vertrags über Auftragsverarbeitung

Im Zusammenhang mit der oben beschriebenen Datenverarbeitung erfolgt eine Weitergabe und Verarbeitung der Daten durch unseren externen Hoster. Wir haben mit unserem Hoster einen Vertrag über Auftragsverarbeitung geschlossen. Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass dieser die personenbezogenen Daten unserer Appnutzer nur nach unseren Weisungen und unter Einhaltung der datenschutzrechtlichen Bestimmungen (DSGVO, BDSG, usw.) verarbeitet.

V.            Bereitstellung der App und Erstellung von Logfiles

1.    Beschreibung und Umfang der Datenverarbeitung

Bei jedem Aufruf unserer App erfasst unser System automatisiert Daten und Informationen vom System des aufrufenden Endgeräts.

Folgende Daten werden hierbei erhoben:

• Informationen über die App (Version)
• Gerätetyp
• Anmeldedaten
• heinrich-System (Hostname)
• Das Betriebssystem des Nutzers
• Den Internet-Service-Provider des Nutzers
• Die IP-Adresse des Nutzers
• Datum und Uhrzeit des Zugriffs

Die Daten werden ebenfalls in den Logfiles unseres Systems gespeichert. Eine Speicherung dieser Daten zusammen mit anderen personenbezogenen Daten des Nutzers findet nicht statt.

2.    Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten und der Logfiles ist Art. 6 Abs. 1 S. 1 lit. f DSGVO.

3.    Zweck der Datenverarbeitung

Die vorübergehende Speicherung der IP-Adresse durch das System ist notwendig, um eine Auslieferung der App-Inhalte an das Gerät des Nutzers zu ermöglichen. Hierfür muss die IP-Adresse des Nutzers für die Dauer der Sitzung gespeichert bleiben.

Die Speicherung in Logfiles erfolgt, um die Funktionsfähigkeit der App sicherzustellen. Zudem dienen uns die Daten zur Optimierung der App und zur Sicherstellung der Sicherheit unserer informationstechnischen Systeme. Eine Auswertung der Daten zu Marketingzwecken findet in diesem Zusammenhang nicht statt.

In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 S. 1 lit. f DSGVO.

4.    Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Im Falle der Erfassung der Daten zur Bereitstellung der App ist dies der Fall, wenn die jeweilige Sitzung beendet ist.

Im Falle der Speicherung der Daten in Logfiles ist dies nach spätestens sieben Tagen der Fall. Eine darüberhinausgehende Speicherung ist möglich. In diesem Fall werden die IP-Adressen der Nutzer gelöscht oder verfremdet, sodass eine Zuordnung des aufrufenden Endgeräts nicht mehr möglich ist.

Die Erfassung der Daten zur Bereitstellung der App und die Speicherung der Daten in Logfiles ist für den Betrieb der App zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

VI.          Kontakt per E-Mail und/oder Telefon

1.    Beschreibung und Umfang der Datenverarbeitung

In unserer App und unseren Signaturen sind E-Mailadressen und Telefonnummern bereitgestellt, über die eine elektronische und/oder telefonische Kontaktaufnahme möglich ist. In diesem Fall werden die mit der E-Mail übermittelten personenbezogenen Daten der betroffenen Person gespeichert. Im Falle der telefonischen Kontaktaufnahme können zur Bearbeitung Ihrer Anfrage ebenfalls personenbezogene Daten gespeichert werden.

Es erfolgt in diesem Zusammenhang keine Weitergabe der Daten an Dritte. Die Daten werden ausschließlich für die Kontaktaufnahme und zum Führen der Konversation verwendet.

2.    Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die Verarbeitung der Daten, die im Zuge einer Übersendung einer E-Mail oder im Rahmen eines Telefonats übermittelt werden, ist Art. 6 Abs. 1 S. 1 lit. f DSGVO. Zielt der Kontakt auf den Abschluss eines Vertrages ab, so ist zusätzliche Rechtsgrundlage für die Verarbeitung Art. 6 Abs. 1 S. 1 lit. b DSGVO.

3.    Zweck der Datenverarbeitung

Die Verarbeitung der personenbezogenen Daten dient uns allein zur Bearbeitung der Kontaktaufnahme. Hierin begründet sich auch das erforderliche berechtigte Interesse an der Verarbeitung der Daten.

4.    Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Für die personenbezogenen Daten, die per E-Mail übersandt oder per Telefon übermittelt wurden, ist dies dann der Fall, wenn die jeweilige Konversation mit der betroffenen Person beendet ist. Beendet ist die Konversation dann, wenn sich aus den Umständen entnehmen lässt, dass der betroffene Sachverhalt abschließend geklärt ist. Kommt aufgrund des Kontakts ein Vertrag zustande, gelten die entsprechenden (gesetzlichen) Aufbewahrungspflichten und -regelungen.

Nimmt ein Betroffener per E-Mail oder per Telefon Kontakt mit uns auf, so kann er der Speicherung seiner personenbezogenen Daten jederzeit widersprechen. In einem solchen Fall kann die Konversation nicht fortgeführt werden. Alle personenbezogenen Daten, die im Zuge der Kontaktaufnahme gespeichert wurden, werden in diesem Fall gelöscht.

VII.        Datenberechtigungen und Installation der App

Unsere App gibt es für die Betriebssysteme Android und iOS. Für die Bereitstellung und Verarbeitung von Daten bei der Nutzung der entsprechenden App Stores sind die jeweiligen Betreiber die Verantwortlichen:

• Android: Google Play – Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland, https://policies.google.com/privacy
• iOS: App Store – Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA, https://www.apple.com/de/legal/privacy/

Bei dem Herunterladen werden ggfls. die E-Mail-Adresse, der Nutzername, die Kundennummer des herunterladenden Accounts, die individuelle Gerätekennziffer, Zahlungsinformationen sowie der Zeitpunkt des Downloads an den jeweiligen App Store übertragen. Auf die Erhebung und Verarbeitung dieser Daten haben wir keinen Einfluss, sie erfolgt vielmehr ausschließlich durch den von Ihnen ausgewählten App Store.

Durch die jeweiligen Betriebssysteme ihres Geräts werden Datenberechtigungen vorgegeben, diese ermöglichen Apps (wie der heinrich-App) auf bestimmte Daten zuzugreifen und Daten an uns oder andere Dienste zu übermitteln.

Ihre Datenberechtigungen können Sie wie folgt anpassen:

Benachrichtigungen (Push-Notifikation):

• Android: Einstellungen – Benachrichtigungen und Kontrollzentrum – App-Benachrichtigungen – heinrich
• iOS: Einstellungen – Mitteilungen – Mitteilung Stil – heinrich

Werbe-ID / Gerätekennung (geräteweit)

• Android: Einstellungen > Google > Anzeigen > Werbe-ID zurücksetzen
• iOS: Einstellungen > Datenschutz > Werbung > Kein Ad-Tracking

Geräteinformationen / Statistiken / Nutzungs- und Diagnosedaten (geräteweit):

• Android: Einstellungen – Google – Dreipunkt-Menü – Nutzung und Diagnose
• Android (alternativ): Einstellungen – Datenschutz – Nutzung & Diagnose
• iOS: Einstellungen – Datenschutz & Sicherheit – Analyse & Verbesserungen – (iPhone) Analyse teilen

Kontaktzugriff:

• Android: Einstellungen – Google – Dreipunkt-Menü – Kontakte
• Android (alternativ): Einstellungen –Kontakte
• iOS: Einstellungen – Kontakte

VIII.      App und Google Firebase –

1.    Beschreibung und Umfang der Datenverarbeitung

Unsere App nutzt Technologien von Google Firebase. Anbieter ist Google Ireland Limited, Gordon House, Battow Street 4, Irland (nachfolgend „Google“). Google Firebase ist ein Dienst, mit dem unter anderem die Nutzung von Benachrichtigungen (Push-Nachrichten), das Erstellen von Absturzberichten und eine Unterstützung der Installation und Aktualisierung der App ermöglicht wird. Mehr Informationen zu den Funktionen von Google Firebase finden Sie unter https://firebase.google.com/terms/ .

Google Firebase Dienste setzen sogenannte „Instance-IDs“ ein. Instance IDs sind einmalig vergebene Identifier, die mit einem Zeitstempel versehen sind und das Verknüpfen von unter-schiedlichen Geschehnissen oder Abläufen im Zusammenhang mit der App ermöglichen. Diese Daten werden zur Analyse und Optimierung des Nutzerverhaltens, wie z.B. der Auswertung von Absturzberichten genutzt. Instance IDs verarbeiten hierbei nach Auskunft von Google keine persönlich-identifizierbaren Daten.

Weitere Informationen zu den eingesetzten „Instance IDs“ und zur Verwaltung der betroffenen Daten finden Sie unter: https://firebase.google.com/support/privacy/manage-iids

Informationen über die genutzten Google Firebase Dienste und verarbeiteten Daten:

Google Firebase Cloud (Google Cloud Messaging, Google Tag Manager, Google Firebase Analytics, Google Analytics, Google AdMob):

• Push-Benachrichtigungen über Cloud Messaging Dienste
• Identifikatoren (Gerätekennung, App-ID/Installationskennung, Werbe ID / IDFA)
• App-Zustand, Versionsverwaltung

Google CrashLytics:

• Gerätespezifische Informationen (z. B. Modell, Betriebssystem und Versionsnummer);
• Kennung pro Installation (eine zufällige Installationskennung, die nur für Firebase gilt);
• Grobe geografische Standortinformationen, die aus Ihrer IP-Adresse abgeleitet werden (z. B. Stadt, Land)
• Andere absturzbezogene Informationen (z. B. Datum und Uhrzeit des Absturzes und Absturzspuren/-logs).

Für die Push-Benachrichtigungen in iOS (Apple Push Notifications) werden außerdem Dynamic Links genutzt.

Weitere Informationen zum Datenschutz bei Google Firebase finden Sie unter: https://firebase.google.com/support/privacy/

Durch die Verwendung von Google Firebase werden bei der Installation und Nutzung der App Daten an die Server von Google übermittelt.

Der Anbieter verfügt über eine Zertifizierung nach dem „EU-US Data Privacy Framework“ (DPF). Weitere Informationen zum DPF finden Sie in diesen Datenschutzinformationen unter „I. Allgemeines zur Datenverarbeitung – 4. Datenübermittlung an ein Drittland oder eine internationale Organisation“. Weitere Informationen zum DPF des Anbieters erhalten Sie unter folgendem Link: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt000000001L5AAI&status=Active

2.    Rechtsgrundlage für die Datenverarbeitung

Die Verarbeitung der Daten erfolgt auf Grundlage von Art. 6 Abs. 1 S. 1 lit. f DSGVO. Der Appbetreiber hat ein berechtigtes Interesse, dieses liegt in der Funktionsbereitstellung von Push-Benachrichtigungen zum Senden von News oder sonstigen Meldungen und in der Bereitstellung, Fehlerbehebung, Gewährleistung der Funktionsbereitschaft und Sicherheit der App.

3.    Zweck der Datenverarbeitung

Google Firebase (Cloud und Messaging) wird für die Bereitstellung und Gewährleistung der Funktionsbereitschaft der App und als Dienst für Push-Benachrichtigungen verwendet. Für die Ausführung des Dienstes sind Identifikatoren (Gerätekennzeichnungen) notwendig (Google Werbe ID oder IDFA), um die Dienstfunktionen ausführen zu können. Die Verwendung von Push-Benachrichtigungen erfolgt um App-Nutzer über News oder sonstige Meldungen (auch außerhalb der App) zu informieren.

Google Firebase CrashLytics wird verwendet, um Probleme mit dieser App zu identifizieren und zu beheben. Firebase CrashLytics hilft uns absturzbezogene Daten und Geräteiformationen zu sammeln, um Probleme mit der App zu identifizieren und zu beheben und ihre Leistung zu verbessern.

Wir kombinieren keine persönlichen Daten, die durch Google Firebase gesammelt wurden, mit anderen persönlichen Daten, die wir von Ihnen für andere Zwecke erhalten haben.

4.    Dauer der Speicherung, Widerspruchs- und Beseitigungsmöglichkeit

Die von Ihnen für Google Firebase bei uns hinterlegten Daten werden von uns bis zu 180 Tage gespeichert und dann gelöscht.

Anonymisiert können Daten bei Google Firebase für technische oder statistische Zwecke darüber hinaus verwendet werden.

Sie können die Verarbeitung Ihrer personenbezogenen Daten über Ihre Geräteeinstellungen im Betriebssystem einschränken oder ausschalten. Mehr Informationen hierzu finden Sie unter Punkt „VI. Datenberechtigungen und Installation der App“ in dieser Datenschutzinformation.

5.    Abschluss eines Vertrags über Auftragsverarbeitung

Wir haben mit Google einen Vertrag über Auftragsverarbeitung geschlossen (https://firebase.google.com/terms/data-processing-terms). Hierbei handelt es sich um einen datenschutzrechtlich vorgeschriebenen Vertrag, der gewährleistet, dass Google die personenbezogenen Daten unserer Appnutzer nur nach unseren Weisungen und unter Einhaltung der datenschutzrechtlichen Bestimmungen (DSGVO, BDSG, usw.) verarbeitet.

IX.          Apple Push Notifications Service (APNS):

Wir verwenden für die Push-Benachrichtigungen auf Apple Geräten den Dienst „Apple Push Notifications“ von der Apple Inc. (One Apple Park Way, Cupertino, California, USA, 95014). Hierfür wird eine verschlüsselte und dauerhafte IP-Verbindung generiert. Die APNS-Nachricht enthält einen Payload, der mit einem symmetrischen Schlüssel verschlüsselt ist, welcher zwischen der App und unseren Servern ausgehandelt wird und Apple nicht bekannt ist. Innerhalb dieses verschlüsselten Payloads werden die App-ID, Gerätekennung des Absenders, Zeitstempel und die Anruf-ID übertragen.

Weitere Informationen zum Datenschutz entnehmen Sie bitte den Datenschutzbedingungen https://www.apple.com/legal/privacy/de-ww/ von Apple Inc. Weitere Informationen zu den Nutzungsbedingungen von Apple Push Notification Service erhalten Sie auf der Webseite von Apple Inc.: https://www.apple.com/de/legal/internet-services/terms/site.html

Privacy policy for the heinrich-APP – English

Name and address of the controller

The controller is the entity that, alone or jointly with others, determines the purposes and means of the processing of personal data. The controller within the meaning of the General Data Protection Regulation and other national data protection laws of the member states as well as other data protection regulations is:

NETHINKS GmbH

Represented by: Uwe Bergmann, Bastian Marmetschke

Rabanusstraße 14-16 | 36037 Fulda | Germany

Tel.: +49 661 25000 0 | Email:info@nethinks.com | Website: www.nethinks.com

Name and address of the data protection officer

We have appointed an external data protection officer:

BerIsDa GmbH | Website: www.berisda.de

You can contact the data protection officer by mail at NETHINKS GmbH, Attn: Data Protection Officer, Rabanusstraße 14-16, 36037 Fulda, Germany, or by email at
datenschutz@berisda.de.

I.              General information on data processing

1.    Scope of personal data processing

The controller collects and uses personal data of its users (hereinafter also referred to as „data subject,“ „person concerned,“ or „visitor“) only to the extent necessary to provide a functional app and to display the content and services. The collection and processing of users‘ personal data for other purposes is generally only carried out with the user’s consent. An exception applies in cases where prior consent cannot be obtained for practical reasons, where processing is based on pre-contractual or contractual measures, where processing of the data is permitted by law, and/or where the controller has a legitimate interest in processing the data.

Your personal data is generally collected directly from you, for example when you contact us, consent to services in this app, or use forms in this app. In addition, technical data that is essential for the operation of the app is automatically collected when you install and use the app.

2.    Legal basis for the processing of personal data

Insofar as the controller obtains the consent of the data subject for the processing of personal data, Art. 6 (1) (a) of the EU General Data Protection Regulation (GDPR) serves as the legal basis for the processing of personal data. For any transfer to a non-secure third country, processing is carried out on the basis of Art. 49 (1) (a) GDPR. If you have consented to the storage of cookies or access to information on your device, data processing is also carried out on the basis of § 25 (1) TDDDG.

When processing personal data that is necessary for the performance of a contract to which the data subject is party, Art. 6 (1) (b) GDPR ( ) serves as the legal basis. This also applies to processing operations that are necessary for the implementation of pre-contractual measures.

Insofar as the processing of personal data is necessary for the fulfillment of a legal obligation to which the controller is subject, Art. 6 (1) (c) GDPR serves as the legal basis.

In the event that vital interests of the data subject or another natural person require the processing of personal data, Art. 6 para. 1 sentence 1 lit. d GDPR serves as the legal basis.

If processing is necessary to safeguard a legitimate interest of the controller or a third party and the interests, fundamental rights, and freedoms of the data subject do not override the former interest, Art. 6 (1) (f) GDPR serves as the legal basis for processing.

If special categories of data are processed in accordance with Art. 9 (1) GDPR, one or more of the legal bases mentioned in this section in conjunction with one or more exceptions from Art. 9 (2) GDPR shall serve as the legal basis. If data is processed on the basis of one of the legal bases mentioned here in conjunction with Art. 9 (2) GDPR, a separate note can be found in the respective processing (text block).

3.    Data deletion and duration of processing

If no specific storage period is specified in this privacy policy, the personal data of our app users will remain with us until the purpose for data processing no longer applies. The personal data of the data subject will be deleted or blocked as soon as the purpose of storage no longer applies or consent given by the data subject is revoked or processing is objected to. Storage may also take place if this has been provided for by the European or national legislator in EU regulations, laws, or other provisions to which the controller is subject. The data will also be blocked or deleted if a storage period prescribed by the aforementioned standards expires, unless there is a need for further storage of the data for the conclusion or fulfillment of a contract.

4.    Data transfer to a third country or an international organization

The European General Data Protection Regulation (GDPR) requires that the transfer of personal data that is already being processed or is to be processed after its transfer to a third country or an international organization is only permissible if a level of data protection comparable to that provided by the GDPR is guaranteed. If it is therefore ensured that the provisions of the GDPR are complied with – this may include, for example, the existence of an adequacy decision by the EU Commission within the meaning of Art. 45 (1), (3) GDPR or the introduction of internal company data protection regulations approved by a supervisory authority (so-called „appropriate safeguards“, Art. 46 (2), (3) GDPR). If there is no level of data protection comparable to the requirements of the GDPR, there may be risks associated with processing in a third country.

Risks of transfer to an unsafe third country: Personal data could potentially be passed on by the provider to other third parties beyond the actual purpose of fulfilling the order, who could use the data for advertising purposes, for example. In addition, it is unlikely that any rights of data subjects can be effectively enforced against the provider. There may be a higher probability of incorrect data processing, as the provider’s technical and organizational measures for the protection of personal data do not fully meet the requirements of the GDPR in terms of quantity and quality. It is also possible that government agencies may access the personal data provided without the data subject’s knowledge. In principle, this also complies with European legal regulations, e.g. for the purpose of averting danger. However, the threshold of permissibility for such data processing is higher in the European Union than in the country of the data recipient. In summary, non-secure third countries do not have a level of data protection comparable to that required by the GDPR.

In our app, we use tools from providers whose headquarters or the headquarters of their parent company (or their affiliated companies) are located in a third country from a data protection perspective. We also transfer data to the USA. Transferring data to the USA is permitted if the recipient is certified under the EU-US Data Privacy Framework (DPF) or has appropriate additional safeguards in place. The DPF is an (individual) agreement between the European Union and the USA, which is intended to ensure compliance with European data protection standards when processing data in the USA. Every company certified under the DPF undertakes to comply with these data protection standards. The list of certified companies can be found at: https://www.dataprivacyframework.gov/list. There you can search for the provider name and view the certification directly. If data is transferred to a provider certified under the DPF, a separate note will be provided by the respective service provider.

5.    Necessity of providing personal data

The provision of your personal data is generally not required by law or contract. There is no obligation to provide such data. However, failure to provide such data may result in you being unable to use certain functions, services, forms, and other processing features in our app. We recommend that you only provide personal data that is necessary, for example, to process your request, to carry out your desired offer, and to use the functions we offer. If the provision of your personal data is required by law or contract, we will inform you of this by means of a separate notice in this privacy policy at the time of processing.

The collection of technical data (and, under certain circumstances, the collection of your IP address as personal data) for the provision of the app and the storage of data in log files is essential for the operation of the app and occurs automatically when you use this app. If you do not want this to happen, you must close or uninstall the app.

II.            Rights of the data subject

If we process your personal data, you as the data subject have the following rights vis-à-vis us as the controller:

1.    Right to information, Art. 15 GDPR

Within the framework of the applicable legal provisions, you have the right to obtain information (free of charge) about your collected and stored personal data at any time. This includes, among other things, information about the purposes of processing, the origin and recipients of the data, the storage period, and the existence of various rights.

2.    Right to rectification, Art. 16 GDPR

You have the right to request the controller to rectify (including complete) your data if the personal data processed concerning you is inaccurate or incomplete for the purpose of processing. The controller must rectify the data without delay.

3.    Right to erasure, Art. 17 GDPR

Under the conditions of Art. 17 GDPR, you may request the erasure of your personal data at any time, unless there are circumstances that entitle or oblige the controller to continue processing your personal data (such as legal retention obligations).

4.    Right to restriction of processing, Art. 18 GDPR

If the legal requirements are met, you may request restriction of the processing of your personal data within the scope of Art. 18 GDPR.

5.    Right to notification, Art. 19 GDPR

If your personal data has been processed by recipients to whom the controller has disclosed the data, the controller is obliged to inform them of your requests for rectification, erasure, or restriction of processing, unless this proves impossible or involves disproportionate effort. You may request that the controller inform you of these recipients.

6.    Right to data portability, Art. 20 GDPR

If you have provided us with personal data and automated processing is carried out on the basis of your consent or on the basis of a contract, you have the right to transfer the data you have provided within the scope of Art. 20 GDPR, provided that this does not affect the rights and freedoms of other persons. The data will be provided in a commonly used, machine-readable format. If you request the direct transfer of the data to another controller, this will only be done to the extent that it is technically feasible.

7.    Right to object, Article 21 GDPR

You have the right to object to the processing of your data at any time, provided that the processing is based on a balancing of interests. This is the case if the controller invokes the public interest or its legitimate interest as the basis for processing (see Art. 6 (1) (e) and (f)). The prerequisite is that you assert reasons arising from your particular situation which outweigh the interests of the controller. The controller will no longer process the personal data concerning you unless it can demonstrate compelling legitimate grounds for the processing which override your interests, rights, and freedoms, or the processing serves to assert, exercise, or defend legal claims.

Article 21(2) GDPR contains a special, deviating provision if the personal data concerning you is used for direct marketing. In this case, you have the right to object to the processing of personal data concerning you at any time without further requirements. The personal data concerning you will no longer be processed for the purpose of direct marketing. If profiling is associated with direct marketing, you can also object to this.

In connection with the use of information society services, you have the option of exercising your right to object by means of automated procedures using technical specifications.

8.    Automated decision-making in individual cases, Art. 22 GDPR

In accordance with Art. 22 GDPR, you have the right that decisions which produce legal effects concerning you or similarly significantly affect you are not based solely on automated processing, including profiling. Exceptions may apply if appropriate measures for the protection of your person are in place and there are necessary contractual provisions or a legal provision, or you have expressly consented.

9.    Right to withdraw your consent, Article 7(3) GDPR

You have the right to withdraw your declaration of consent under data protection law at any time. The legality of the data processing carried out until the withdrawal remains unaffected by the withdrawal. You can send the withdrawal by email or post to the controller.

10. Right to lodge a complaint with a supervisory authority

Without prejudice to any other administrative or judicial remedy, you have the right to lodge a complaint with a supervisory authority for data protection, in particular in the Member State of your habitual residence, your place of work or the place of the alleged infringement, if you consider that the processing of personal data relating to you infringes the GDPR.

The supervisory authority responsible for us is the Hessian Commissioner for Data Protection and Freedom of Information. If you are located in another federal state or outside Germany, you can also contact the data protection authority there.

III.          SSL/TLS encryption

This app uses SSL/TLS encryption for security reasons and to protect the transmission of confidential content, such as requests that you as data subjects send to us as the app operator. An encrypted connection can be recognized by the fact that the address line of the browser changes from „http://“ to „https://“ and by the lock symbol in the browser line. If SSL/TLS encryption is activated, the data you transmit to us cannot be read by third parties.

IV.          Development and operation of the app

1.    Description and scope of data processing

The heinrich app is used to operate your heinrich telephony solution on a mobile device. Depending on your selection, hosting takes place within your company or via Nethinks in a data center. To use the push service, we use the push service of an external provider as standard. The user’s SIP access data is used to enable push notifications to function. These are securely transmitted to the push server and used to register the account and forward all incoming calls and messages to the device via push notifications. Please note that this information is not collected if you choose not to use push notifications for incoming calls (configurable in the app). A proxy server from Nethinks is used for authentication by default. This may include IP addresses, contact requests, meta and communication data, contract data, contact details, names, page views, and other data generated via an app.

A call history is created locally on the end device within the heinrich app.

2.    Legal basis for data processing

The legal basis for data processing is Art. 6 (1) (f) GDPR for the provision of the app.

3.    Purpose of data processing

The hoster is used for the purpose of providing our online offering securely, quickly, and efficiently, as well as for the reliable display and provision of our app by a professional provider. These purposes constitute our legitimate interest.

4.    Duration of storage, possibility of objection and removal

The data will be deleted as soon as it is no longer necessary for the purpose for which it was collected. In the case of data collection for the provision of the app, this is the case when the respective session has ended.

The collection of data for the provision of the app and the storage of data in log files is essential for the operation of the app. Consequently, there is no possibility for the user to object.

5.    Conclusion of a contract for order processing

In connection with the data processing described above, the data is transferred and processed by our external host. We have concluded a contract for order processing with our host. This is a contract required by data protection law, which ensures that the Provider processes the personal data of our app users only in accordance with our instructions and in compliance with data protection regulations (GDPR, BDSG, etc.).

V.            Provision of the app and creation of log files

1.    Description and scope of data processing

Each time our app is accessed, our system automatically collects data and information from the system of the accessing device.

The following data is collected:

• Information about the app (version)
• Device type
• Login data
• heinrich system (host name)
• The user’s operating system
• The user’s Internet service provider
• The user’s IP address
• Date and time of access

The data is also stored in our system’s log files. This data is not stored together with other personal data relating to the user.

2.    Legal basis for data processing

The legal basis for the temporary storage of data and log files is Art. 6 (1) (f) GDPR.

3.    Purpose of data processing

The temporary storage of the IP address by the system is necessary to enable the delivery of app content to the user’s device. For this purpose, the user’s IP address must remain stored for the duration of the session.

Storage in log files is done to ensure the functionality of the app. In addition, the data helps us to optimize the app and to ensure the security of our information technology systems. The data is not evaluated for marketing purposes in this context.

These purposes also constitute our legitimate interest in data processing in accordance with Art. 6 (1) (f) GDPR.

4.    Duration of storage, possibility of objection and removal

The data is deleted as soon as it is no longer required for the purpose for which it was collected. In the case of data collection for the provision of the app, this is the case when the respective session has ended.

In the case of data storage in log files, this is the case after seven days at the latest. Storage beyond this period is possible. In this case, the IP addresses of the users are deleted or alienated so that it is no longer possible to assign the calling end device.

The collection of data for the provision of the app and the storage of data in log files is essential for the operation of the app. Consequently, there is no possibility for the user to object.

VI.          Contact by email and/or telephone

1.    Description and scope of data processing

Our app and our signatures provide email addresses and telephone numbers that can be used to contact us electronically and/or by telephone. In this case, the personal data of the data subject transmitted with the email will be stored. If you contact us by telephone, personal data may also be stored in order to process your request.

In this context, the data will not be passed on to third parties. The data will be used exclusively for establishing contact and conducting the conversation.

2.    Legal basis for data processing

The legal basis for the processing of data transmitted in the course of sending an email or during a telephone call is Art. 6 (1) (f) GDPR. If the purpose of the contact is to conclude a contract, the additional legal basis for the processing is Art. 6 (1) (b) GDPR.

3.    Purpose of data processing

The processing of personal data serves solely to process the contact request. This also justifies the necessary legitimate interest in the processing of the data.

4.    Duration of storage, possibility of objection and removal

The data will be deleted as soon as it is no longer necessary for the purpose for which it was collected. For personal data sent by email or transmitted by telephone, this is the case when the respective conversation with the data subject has ended. The conversation is ended when it can be inferred from the circumstances that the matter in question has been conclusively clarified. If a contract is concluded as a result of the contact, the corresponding (statutory) retention obligations and regulations apply.

If a data subject contacts us by email or telephone, they can object to the storage of their personal data at any time. In such a case, the conversation cannot be continued. All personal data stored in the course of the contact will be deleted in this case.

VII.        Data permissions and installation of the app

Our app is available for Android and iOS operating systems. The respective operators are responsible for the provision and processing of data when using the corresponding app stores:

• Android: Google Play – Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland, https://policies.google.com/privacy
• iOS: App Store – Apple Inc., One Apple Park Way, Cupertino, CA 95014, USA, https://www.apple.com/de/legal/privacy/

When downloading, the email address, user name, customer number of the downloading account, individual device identification number, payment information, and time of download may be transmitted to the respective app store. We have no influence on the collection and processing of this data; it is carried out exclusively by the app store you have selected.

The respective operating systems of your device specify data permissions that allow apps (such as the heinrich app) to access certain data and transmit data to us or other services.

You can adjust your data permissions as follows:

Notifications (push notifications):

• Android: Settings – Notifications and Control Center – App Notifications – heinrich
• iOS: Settings – Notifications – Notification Style – heinrich

Advertising ID / Device ID (device-wide)

• Android: Settings > Google > Ads > Reset advertising ID
• iOS: Settings > Privacy > Advertising > Limit Ad Tracking

Device information / Statistics / Usage and diagnostic data (device-wide):

• Android: Settings – Google – Three-dot menu – Usage and diagnostics
• Android (alternative): Settings – Privacy – Usage & Diagnostics
• iOS: Settings – Privacy & Security – Analytics & Improvements – (iPhone) Share Analytics

Contact access:

• Android: Settings – Google – Three-dot menu – Contacts
• Android (alternative): Settings – Contacts
• iOS: Settings – Contacts

VIII.      App and Google Firebase –

1.    Description and scope of data processing

Our app uses technologies from Google Firebase. The provider is Google Ireland Limited, Gordon House, Battow Street 4, Ireland (hereinafter „Google“). Google Firebase is a service that enables, among other things, the use of notifications (push messages), the creation of crash reports, and support for installing and updating the app. For more information about the features of Google Firebase, please visit https://firebase.google.com/terms/.

Google Firebase services use so-called „instance IDs.“ Instance IDs are unique identifiers that are timestamped and enable the linking of different events or processes related to the app. This data is used to analyze and optimize user behavior, such as evaluating crash reports. According to Google, instance IDs do not process any personally identifiable data.

Further information on the „instance IDs“ used and the management of the data concerned can be found at: https://firebase.google.com/support/privacy/manage-iids

Information about the Google Firebase services used and the data processed:

Google Firebase Cloud (Google Cloud Messaging, Google Tag Manager, Google Firebase Analytics, Google Analytics, Google AdMob):

• Push notifications via cloud messaging services
• Identifiers (device ID, app ID/installation ID, advertising ID/IDFA)
• App status, version management

Google CrashLytics:

• Device-specific information (e.g., model, operating system, and version number);
• Identifier per installation (a random installation identifier that is only valid for Firebase);
• Rough geographic location information derived from your IP address (e.g., city, country)
• Other crash-related information (e.g., date and time of crash and crash traces/logs).

Dynamic links are also used for push notifications in iOS (Apple Push Notifications).

For more information about data protection at Google Firebase, please visit: https://firebase.google.com/support/privacy/

When you install and use the app, data is sent to Google’s servers because Google Firebase is being used.

The provider is certified under the EU-US Data Privacy Framework (DPF). Further information on the DPF can be found in this privacy policy under „I. General information on data processing – 4. Data transfer to a third country or an international organization.“ Further information on the provider’s DPF is available at the following link: https://www.dataprivacyframework.gov/s/participant-search/participant-detail?id=a2zt000000001L5AAI&status=Active

2.    Legal basis for data processing

The data is processed on the basis of Art. 6 (1) (f) GDPR. The app operator has a legitimate interest in providing push notifications for sending news or other messages and in providing, troubleshooting, ensuring the functionality and security of the app.

3.    Purpose of data processing

Google Firebase (Cloud and Messaging) is used to provide and ensure the functionality of the app and as a service for push notifications. Identifiers (device identifiers) are necessary for the execution of the service (Google Advertising ID or IDFA) in order to be able to execute the service functions. Push notifications are used to inform app users about news or other messages (including outside the app).

Google Firebase CrashLytics is used to identify and fix problems with this app. Firebase CrashLytics helps us collect crash-related data and device information to identify and fix problems with the app and improve its performance.

We do not combine personal data collected by Google Firebase with other personal data we have received from you for other purposes.

4.    Duration of storage, objection and removal options

The data you provide to us for Google Firebase will be stored by us for up to 180 days and then deleted.

Anonymized data may be used by Google Firebase for technical or statistical purposes beyond this period.

You can restrict or disable the processing of your personal data via your device settings in the operating system. For more information, see section „VI. Data permissions and installation of the app“ in this privacy policy.

5.    Conclusion of a contract for order processing

We have concluded a contract with Google for order processing (https://firebase.google.com/terms/data-processing-terms). This is a contract required by data protection law, which ensures that Google processes the personal data of our app users only in accordance with our instructions and in compliance with data protection regulations (GDPR, BDSG, etc.).

IX.          Apple Push Notifications Service (APNS):

We use the „Apple Push Notifications“ service from Apple Inc. (One Apple Park Way, Cupertino, California, USA, 95014) for push notifications on Apple devices. An encrypted and permanent IP connection is generated for this purpose. The APNS message contains a payload that is encrypted with a symmetric key negotiated between the app and our servers and unknown to Apple. Within this encrypted payload, the app ID, sender device ID, timestamp, and call ID are transmitted.

For more information on data protection, please refer to Apple Inc.’s privacy policy at https://www.apple.com/legal/privacy/de-ww/. For more information on the terms of use of Apple Push Notification Service, please visit the Apple Inc. website at https://www.apple.com/de/legal/internet-services/terms/site.html.