Datenschutzerklärung für die Nutzer des Gästebuchs

Stand: 19.10.2020

1. Anwendungsbereich

Der Schutz Ihrer persönlichen Daten als Nutzer von „LetsBeSafe“ ist uns ein besonderes Anliegen. Wir verarbeiten die von Ihnen eingegebenen Daten daher ausschließlich auf Grundlage der gesetzlichen Bestimmungen (DSGVO, DSG und TKG 2003) und der vorliegenden Datenschutzerklärung. Diese Datenschutzerklärung beschreibt, wie Ihre personenbezogenen Daten verarbeitet werden, die bei einem Eintrag in das digitale Gästebuch erfasst werden. Hierbei verarbeitet die Scrimber IT-Service GmbH, Lugeck 7/14, A-1010 Wien (kurz: "Scrimber"), die Gästedaten als Auftragsverarbeiter (Art 4 Nr. 8 DSGVO) im Auftrag des jeweiligen Betriebs (z.B. ein Gastronomiebetrieb; Kontaktdaten des Betriebs siehe Punkt 9. der Datenschutzerklärung), bei dem das digitale Gästebuch in Verwendung ist. Datenschutzrechtlicher Verantwortlicher (Art 4 Nr. 7 DSGVO) ist der jeweilige Betrieb, bei dem das digitale Gästebuch in Verwendung ist. Die Datenschutzerklärung dient auch als Informationserteilung gemäß Art 13 DSGVO.

2. Verarbeitete Daten

Bei einem Eintrag in das Gästebuch werden je nach Umfang der Eingaben auf "www.letsbesafe.at" nachstehende Daten des Gastes verarbeitet:

Vorname, Nachname, Telefonnummer, Email, Tischnummer, Zeitpunkt der Absendung der Daten. Sofern die Eingabe der Adresse rechtlich vorgeschrieben ist (z.B. in Salzburg aufgrund der Verordnung des Landeshauptmannes LGBl Nr 97/2020), wird auch diese erfasst. Aus Sicherheitsgründen erfolgt auch eine Erfassung der IP-Adresse des Gastes, um die missbräuchliche Verwendung des Gästebuchs zu verhindern (z.B. IP-Blocking) und allfällige strafrechtliche Angriffe auf das digitale Gästebuch (z.B. DDoS) leichter verfolgen zu können.

Eine automatisierte Entscheidungsfindung einschließlich Profiling (Art 22 DSGVO) wird nicht verwendet.

3. Rechtsgrundlage und Zweck der Datenverarbeitung

Die Daten werden aufgrund der ausdrücklichen Einwilligung derjenigen Person (z.B. ein Gast), welche die Daten zur Verfügung gestellt hat, verarbeitet, sofern nicht andere Rechtsgrundlagen die Datenverarbeitung rechtfertigen. Die Einwilligung erfolgt durch den Klick auf den Button "Absenden" im digitalen Kontaktenformular, wobei der Nutzer vorher ausdrücklich darauf hingewiesen wird, dass er mit dem Absenden in die vorliegende Datenschutzerklärung einwilligt. Der Nutzer nimmt zur Kenntnis, dass die eingegebenen personenenbezogenen Daten laut Punkt 2. der Datenschutzerklärung auch den Charakter von Gesundheitsdaten (Art 4 Nr. 15 DSGVO) haben können, nämlich z.B. dann wenn nachträglich aufgrund eines Herausgabeverlangens der Gesundheitsbehörde bekannt wird, dass ein Gast COVID-19-infiziert war.

Der Zweck der Datenverarbeitung ist die Aufbewahrung zur Erfüllung allfälliger Mitwirkungspflichten im Rahmen der Erhebung von Kontaktpersonen bei Umgebungsuntersuchungen durch die Gesundheitsbehörden.

4. Dateneinsicht und -weitergabe

Die Daten dürfen vom Betrieb nur unter nachstehenden Umständen an dritte Personen weitergegeben oder von diesen eingesehen werden:

  1. Gesundheitsbehörden, wenn diese die Herausgabe gemäß § 5 Abs 3 EpG verlangen (in diesem Fall ist die Rechtsgrundlage für die Weitergabe zudem § 10 Abs 2 DSG und Art 9 Abs 2 lit i DSGVO)
  2. sonstige Behörden und Gerichte, wenn diese die Herausgabe der Daten verlangen und sich auf eine geeignete Rechtsgrundlage stützen können (z.B. nach der StPO bei Verdacht von strafrechtlich relevantem Verhalten eines Nutzers)
  3. Weiters besteht eine Einsichtsmöglichkeit für den Auftragsverarbeiter des Betriebs, nämlich die Scrimber IT-Service GmbH und deren Mitarbeiter. Auftragsverarbeiter sind zur Vertraulichkeit verpflichtet (Art 28 Abs 3 lit b DSGVO). Der jeweilige Betrieb hat mit der Scrimber IT-Service GmbH einen Auftragsdatenverarbeitungsvertrag (Art 28 DSGVO) abgeschlossen. Die Möglichkeit der Dateneinsicht für den Auftragsverarbeiter des Betriebs (in concreto für die Scrimber IT-Service GmbH) ist erforderlich, z.B. für die Entschlüsselung anlässlich der Übergabe der (noch nicht gemäß Punkt 5. der Datenschutzerklärung gelöschten) Daten an den Betrieb bei Beendigung des Auftragsdatenverarbeitungsvertrags, für die Erfüllung von Anfragen der Gesundheitsbehörde beim Betrieb oder für die Verfolgung von Cyberkriminalität. Folgendes Unternehmen ist für die Scrimber IT-Service GmbH als (Sub-)Auftragsdatenverarbeiter tätig: webgo GmbH, Wandsbeker Zollstr. 95, 22041 Hamburg, als Hosting-Provider.

5. Dauer der Datenverarbeitung

Die Daten werden 28 Tage ab Eingang der Daten gespeichert, und nach Fristablauf auf sämtlichen Speichermedien (inklusive Backups) gelöscht, sofern im Einzelfall keine behördliche Anordnung zur längeren Aufbewahrung erfolgt.

Auf die weitere Verarbeitung der Daten durch Dritte, an welche Scrimber die Daten zulässigerweise weitergegeben hat (z.B. an den jeweiligen Betrieb im Rahmen des Auftragsdatenverarbeitungsvertrags), hat Scrimber keinen Einfluss und es haftet Scrimber auch nicht für Datenschutzverletzungen, für welche Scrimber selbst nicht verantwortlich ist.

6. Datensicherheit

Wir sind um die Wahrung der Vertraulichkeit und Integrität der übermittelten personenbezogenen Daten bemüht. Sämtliche Daten werden ausschließlich auf Servern in der Europäischen Union gespeichert. Aus Sicherheitsgründen werden einlangende Daten (Vorname, Nachname, Email, Telefonnummer, IP-Adresse und wenn eingegeben auch Adresse) auf dem Server des Hosting-Providers verschlüsselt.

7. Cookies

Der Nutzer hat die Möglichkeit, die Angaben im digitalen Kontaktdatenformular lokal im Cache seines Browsers zu speichern, damit er die Kontaktdaten bei der regelmäßigen Verwendung von "LetsBeSafe" nicht jeweils von neuem eingeben muss. Dazu muss der Nutzer die Checkbox "Formularangaben speichern" aktivieren. Mit Absenden der Kontaktdaten werden diese sodann lokal im Browser als Cookies gespeichert. Der Nutzer kann diese Cookies jederzeit löschen, indem er den Browserverlauf in den Einstellungen seines Browsers löscht oder die Checkbox zur lokalen Speicherung im Browser bei der nächsten Verwendung von "LetsBeSafe" wieder deaktiviert und das Formular absendet. Die Speicherfunktion für die Formularangaben ist im privaten Modus (Inkognitomodus) nicht möglich.

8. Betroffenenrechte

Der Nutzer hat als betroffene Person gemäß den Bestimmungen der DSGVO unter den dort jeweils genannten Voraussetzungen folgende Rechte (Betroffenenrechte gemäß Kapitel III DSGVO):

  1. Auskunfts- und Informationserteilung über seine gespeicherten Daten (Art 15 DSGVO)
  2. Berichtigung unrichtiger bzw. die Ergänzung unvollständiger personenbezogener Daten (Art 16 DSGVO)
  3. Bei Vorliegen eines Löschungsgrundes, insbesondere unrechtmäßiger Datenverarbeitung, die Löschung seiner Daten (Art 17 DSGVO)
  4. Einschränkung der Datenverarbeitung (Art 18 DSGVO)
  5. Recht auf Datenübertragbarkeit (Art 20 DSGVO)
  6. Widerspruchsrecht gegen die Verarbeitung personenbezogener Daten (Art 21 DSGVO)

Der Nutzer hat weiters das Recht, seine Einwilligung zur Datenverarbeitung zu widerrufen, wobei die Rechtmäßigkeit bis zum Zeitpunkt des Widerrufs der Einwilligung gewahrt bleibt. Eine Verarbeitung von Daten aufgrund anderer Rechtsgrundlagen wird durch den Widerruf der Einwilligung nicht berührt (z.B. zur Erfüllung gesetzlicher Aufbewahrungspflichten nach erstmaliger Datenverarbeitung).

Die Betroffenenrechte zu den erfassten Daten sind beim jeweiligen Betrieb, in dem das digitale Gästebuch verwendet wird, als datenschutzrechtlicher Verantwortlicher geltend zu machen (Kontaktdaten des Betriebs siehe Punkt 9. der Datenschutzerklärung). Scrimber bemüht sich, an der Erfüllung dieser Betroffenenrechte mitzuwirken (z.B. durch Übermittlung der Daten des Betroffenen an den Betrieb, sodass dieser den Betroffenenrechten, vor allem Auskunftsrechten, nachkommen kann). Scrimber haftet nicht dafür, wenn der jeweilige Betrieb als datenschutzrechtlicher Verantwortlicher die Ausübung der Betroffenenrechte verweigert.

Die Ausübung der Betroffenenrechte steht nur bei personenbezogenen Daten im Sinne des Art 4 Nr. 1 DSGVO zu. Bei anonymisierten Daten, bei denen eine Zuordnung zu einzelnen Personen nicht möglich ist, stehen die Betroffenenrechte nicht zu.

Für die Ausübung der Betroffenenrechte ist ein amtlicher Lichtbildausweis vorzulegen. Erforderlichenfalls können weitere Identifikationsnachweise verlangt werden.

Gegen die Verarbeitung der personenbezogenen Daten kann bei der Datenschutzbehörde, Barichgasse 40–42, A-1030 Wien, Beschwerde erhoben werden.

9. Kontaktdaten des Betriebs