1. Wer stellt Dir diesen Dienst zur Verfügung?
Die Amnesty Moves App (im weiteren Text nennen wir sie nur noch abgekürzt „App“) wird Dir von Amnesty International Österreich zur Verfügung gestellt:
Amnesty International Österreich
Lerchenfelder Gürtel 43/4/3, 1160 Wien
ZVR-Zahl: 407408993
E-Mail: office@amnesty.at
Immer, wenn Du im weiteren Text „wir“ oder „uns“ liest, dann ist Amnesty International Österreich gemeint. Nach der Datenschutz-Grundverordnung (DSGVO) sind wir der Verantwortliche.
2. Was ist die Zielsetzung dieser App?
Die Hauptfunktion dieser App ist es eine zentrale Austauschplattform zu bilden, die den App*User*innen folgende Funktionalitäten bietet:
Die Plattform dient dazu zu informieren und bietet die Möglichkeit zeitnah wichtige Informationen zwischen dem Büro und den Aktivist*innen und zwischen den Aktivist*innen untereinander auszutauschen.
Zudem dient die App zur Mobilisierung und soll Unterstützer*Innen zum Mitmachen (z.B. bei Veranstaltungen, Unterschriftenaktionen, öffentlichen Aktionen etc. teilnehmen) anregen und die Organisation von Aktivitäten durch schnelleren und direkteren Informationstransfer und -austausch erleichtern
Um Dir noch mehr Details darüber zu geben, wie die App funktioniert bzw. wozu sie dient, haben, kannst du dir die Nutzungsbedingungen https://amnestymoves.at/terms-of-use
3. Was sind personenbezogene Daten?
Unter personenbezogenen Daten sind alle Informationen zu verstehen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Wir haben in der App Wert darauf gelegt, deine Privatsphäre so gut wie möglich zu schützen.
Für die Nutzung der App ist eine Eingabe eines Namens, der E-Mail-Adresse, sowie einer Postleitzahl, des Ortes und des Landes notwendig. Die Eingabe deiner Telefonnummer ist optional. Du kannst dir einen Namen aussuchen, da keine Klarnamenpflicht besteht. Die E-Mail-Adresse bzw. die Telefonnummer (sofern angegeben) benötigen wir zur Registrierung bzw.um bezüglich Aktionen und Veranstaltungen mit dir in Kontakt treten können (z.B. bei Absagen oder Änderungen). Wenn du dich für eine Aktion anmeldest, wird deine E-Mail-Adresse bzw. Telefonnummer automatisch weitergeleitet, damit der*die Aktions- bzw. Veranstaltungsleiter*in mit dir in Kontakt treten kann. Die Angabe des Ortes und die Postleitzahl sind aus technischen Gründen notwendig. Du kannst dir aussuchen, an welchem Ort du Veranstaltungen bzw. Aktionen angezeigt bekommen möchtest. Eine Änderung deiner Daten ist jederzeit über dein Profil in der App möglich.
Neben den „normalen“ personenbezogenen Daten gibt es auch die umgangssprachlich „sensibel“ genannten Daten. Nach der DSGVO heißen diese „besondere Kategorien personenbezogener Daten“ (s. Art. 9 DSGVO). Gesundheitsdaten sind z.B. solche sensiblen Daten. Diese müssen mit noch mehr Vorsicht behandelt werden.
In weiterer Folge informieren wir Dich nun darüber, in welchen Funktionen der App wir welche Daten verarbeiten und was die Rechtsgrundlage dafür ist, dass wir das tun.
4. Welche personenbezogenen Daten von Dir werden verarbeitet?
Abhängig von Deiner konkreten Nutzung der Funktionen der App, verarbeiten wir folgende Daten:
4.1 Daten, die beim Download der App verarbeitet werden
Wenn Du die App im App Store (z.B. Google Play Store, Apple App Store und Huawei AppGallery) downloadest, wirst Du dort Daten angeben müssen (z.B. Nutzername, E-Mail-Adresse). Diese werden zusammen mit anderen Infos wie z.B. der Kundennummer Deines Accounts, dem Zeitpunkt des Downloads sowie die individuellen Gerätekennziffer an den App Store übermittelt und verarbeitet. Die Verarbeitung dieser Daten erfolgt ausschließlich durch den jeweiligen App Store und liegt außerhalb unseres Einflussbereiches und wir sind somit für diese Verarbeitung nicht die verantwortliche Stelle. Datenschutzinformationen sind direkt bei Google, Apple und Huawei zu finden: https://policies.google.com/privacy bzw. https://support.apple.com/de-at/HT210584 bzw. https://consumer.huawei.com/en/privacy/privacy-policy.
4.2 Daten, die ab der Installation der App verarbeitet werden
Wenn Du Dich über die App aktiv bei Terminen anmeldest, wird dies entsprechend gespeichert und verarbeitet. Dein Name, E-Mailadresse sowie (sofern Du sie angegeben hast) die Telefonnummer werden unseren zuständigen Organisator*innen zur Verfügung gestellt.
Wie bereits weiter oben gesagt, ist für die Nutzung der App ist die Angabe eines Namens (keine Klarnamenpflicht), der E-Mail-Adresse, einer Postleitzahl, eines Ortes und des Landes notwendig. Optional kannst du noch deine Telefonnummer eingeben, damit wir dich in Bezug auf Veranstaltungen und Aktionen (z.B. bei Absagen) schneller informieren können, sowie dein IP-Adresse.
Die Verarbeitung dieser personenbezogenen Daten durch die App erfolgt auf Basis Deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO). Nur wenn Du diese Einwilligung erteilst, um die Du gleich zu Beginn gefragt wirst, kannst Du die App auch nutzen. Die Angabe der Telefonnummer ist jedoch optional. Solltest Du es sich aber dann doch anders überlegen, dann kannst Du die Einwilligung auch jederzeit widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf wird dadurch nicht berührt.
Jede Kommunikation über das Internet erfordert bestimmte Daten, um den Informationsfluss zu ermöglichen. Im konkreten Fall sind folgende Daten für die Bereitstellung und Nutzung der App erforderlich für die Kommunikation zwischen Deinem Endgerät (Handy) mit unserem Server:
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- Konfiguration (Spracheinstellungen, Gerätetyp und Version des Betriebssystems)
Die Verarbeitung dieser personenbezogenen Daten von Dir erfolgt auf Basis des berechtigten Interesses (Art. 6 Abs. 1 lit. f DSGVO): die vorübergehende Verarbeitung der angeführten Daten durch das System ist notwendig, um eine Kommunikation zwischen Endgerät und Server zu ermöglichen. Eine Speicherung oder Zusammenführung dieser Daten mit anderen personenbezogenen Daten von Dir findet nicht statt.
Bei der Nutzung der App fallen zudem auch Log- und Protokolldaten an. Diese Daten liefern wichtige Anhaltspunkte zur Optimierung unserer App. Rechtsgrundlage hierfür ist das berechtigte Interesse nach Art 6 Abs 1 lit f DSGVO. Das berechtigte Interesse liegt darin Fehlersituationen besser nachvollziehen zu können und die Benutzerfreundlichkeit der App stetig zu verbessern. Diese Daten dienen auch zur Gewährleistung der Sicherheit unserer Systeme (z.B. Angriffserkennung).
Die Amnesty Moves App kann Dir mittels Push-Mitteilungen Benachrichtigungen zukommen lassen, auch wenn Du die App gerade nicht geöffnet hast.
Um Dir in der App Push-Nachrichten anzeigen zu können (z.B. relevante Infos zu Terminen, zu denen Du Dich angemeldet hast), verwenden wir Firebase Cloud Messaging, ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland. werden. Damit Push-Nachrichten korrekt angezeigt werden können, werden durch Google personenbezogene Daten verarbeitet. Dabei handelt es sich in den meisten Fällen um sogenannte "Instance IDs" (einzigartige IDs, die mit einem Zeitstempel versehen sind). Du hast jederzeit die Möglichkeit in der App den Empfang von Push-Nachrichten zu aktivieren bzw. zu deaktivieren. Die Verarbeitung erfolgt auf Basis Deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO).
Wenn Du uns die entsprechende Berechtigung erteilt hast, kannst Du Dir anhand des Ortungsdienstes Deines Geräts auch Standort-basierte Informationen anzeigen lassen (z.B. Termine in Deiner Umgebung). Die Informationen zu Deinem Standort werden von uns nicht gespeichert. Du hast jederzeit die Möglichkeit auf Deinem Gerät die entsprechende Funktion zu deaktivieren bzw. zu aktivieren. erfolgt auf Basis Deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO).
Wir nutzen in unseren Apps Google Firebase Authentication, einen Dienst der Google Ireland Limited, Gordon House, 4 Barrow Street, D04 E5W5 Dublin, Irland („Google“). Firebase Authentication ist ein von Google bereitgestellter Anmelde- und Authentifizierungsdienst.
Hier verarbeiten wir Deinen Nutzernamen und E-Mail-Adresse. erfolgt auf Basis Deiner ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a und Art. 9 Abs. 2 lit. a DSGVO).
Die Daten werden gelöscht, sobald sie für die Erreichung des Zweckes ihrer Erhebung nicht mehr erforderlich sind. Die Daten werden zudem gelöscht, wenn man sein Profil löscht.
5. Geben wir Daten weiter?
Eine Weitergabe Deiner personenbezogenen Daten erfolgt neben den explizit in dieser Datenschutzinformation genannten Fällen nicht. Die Daten, die im Rahmen der App-Nutzung von Dir angegeben werden, werden innerhalb von Amnesty International Österreich für interne Verwaltungszwecke im Rahmen des Erforderlichen weitergeben. In folgenden Fällen kann es zu einer Übermittlung Deiner personenbezogenen Daten kommen:
5.2 Auftragsverarbeiter und externe Dienste
Wir sind für die Erbringung unseres Dienstes auf externe Dienstleister angewiesen, die nach der DSGVO als Auftragsverarbeiter bezeichnet werden. Eine Weitergabe der personenbezogenen Daten ist dadurch gerechtfertigt, dass wir unsere externen Dienstleister im Rahmen von Art. 28 Abs. 1 DSGVO als Auftragsverarbeiter sorgfältig ausgewählt, regelmäßig überprüft und vertraglich verpflichtet haben, sämtliche personenbezogenen Daten ausschließlich entsprechend unserer Weisungen zu verarbeiten und sich an die DSGVO zu halten.
Folgende Dienste sind dies konkret:
5.2.1 Betrieb und Wartung der App (einschließlich Backend)
Die Entwicklung, den Betrieb und die Wartung der Software haben wir an einen zuverlässigen Partner ausgelagert. Webmozarts GmbH, Rotenturmstraße 27/2, 1010 Wien.
Für die Push-Nachrichten wird der Dienst Firebase Cloud Messaging von Google Inc. verwendet.
Die Authentifizierung erfolgt ebenfalls über Google, einen Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland. Wir haben wir mit Google einen entsprechenden Auftragsverarbeitungsvertrag abgeschlossen.
Wir nutzen Sentry, einen Dienst zur Fehleranalyse. Die Verarbeitung der Daten erfolgt dabei auf Basis unseres berechtigten Interesse gemäß Art 6 Abs. 1 lit f DSGVO.
Für die Durchführung der Fehleranalyse haben wir einen Auftragsverarbeitungsvertrag gemäß Art 28 DSGVO mit Sentry abgeschlossen.
5.3 Übermittlung in Drittländer
Von Seiten von Amnesty International Österreich erfolgen grundsätzlich keine Übermittlungen von personenbezogenen Daten in die USA.
Die Entwicklung, der Betrieb und die Wartung der Software wurde an Webmozarts GmbH, Rotenturmstraße 27/2, 1010 Wien ausgelagert. Webmozarts besorgt als Auftragsverarbeiter das Hosting und den technischen Betrieb der App und des Servers sowie die Wartung im Störungsfall und die technische Datensicherheit. Als Hostingdienstleister nutzt Webmozarts den Cloud Service von AWS. Im Rahmen der Nutzung der Cloud kann durch den Kunden gewählt werden, in welchen Rechenzentren bzw. Regionen die Daten gespeichert bzw. verarbeitet werden sollen. Wenn man eine Ressource anlegt, wählt man, welches Rechenzentrum genutzt wird. In diesem Fall wurde das Rechenzentrum Frankfurt ausgewählt. Dennoch ist nicht völlig auszuschließen, dass eine Übertragung in die USA erfolgt, da Amazon regelmäßig externe Dienstleister einsetzt. In seinem Urteil prüfte der EuGH auch die Gültigkeit der Entscheidung 2010/87/EG der Europäischen Kommission über Standardvertragsklauseln (Standard Contractual Clauses, "SCC") und hielt diese für gültig. Datenübermittlungen in die AWS Cloud sind derzeit auf Standardvertragsklauseln gestützt Allerdings weist der Gerichtshof insbesondere darauf hin, dass der Beschluss 2010/87/EG dem Datenexporteur und dem Empfänger der Daten (dem "Datenimporteur") die Verpflichtung auferlegt, vor jeder Übermittlung unter Berücksichtigung der Umstände der Übermittlung zu prüfen, ob dieses Schutzniveau in dem betreffenden Drittland eingehalten wird, und dass der Datenimporteur verpflichtet ist, den Datenexporteur über die Unfähigkeit zu informieren, die Standarddatenschutzklauseln und erforderlichenfalls zusätzliche Maßnahmen zu den durch diese Klauseln gebotenen zu erfüllen. Die Zulässigkeit der Übermittlung personenbezogener Daten in die USA auf der Basis von SCC hängt vom Ergebnis der Beurteilung im Einzelfall ab, wobei die Umstände der Übermittlung und zusätzlich ergriffene Maßnahmen, zu berücksichtigen sind.
Zudem wird der gesamte Datenbankserver verschlüsselt betrieben.
Firebase Cloud Messaging: Um Dir in der App Push-Nachrichten anzeigen zu können (z.B. relevante Infos zu Terminen, zu denen Sie sich angemeldet haben), verwenden wir Firebase Cloud Messaging, ein Dienst der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Ireland. werden. Damit Push-Nachrichten korrekt angezeigt werden können, müssen durch Google personenbezogene Daten verarbeitet werden. Die Daten werden im Google Rechenzentrum europe-west3 in Frankfurt abgelegt. Dabei kann eine Übermittlung in Drittländer nicht ausgeschlossen werden. Wir haben wir mit Google einen entsprechenden Auftragsverarbeitungsvertrag mit den sogenannten Standardvertragsklauseln der EU-Kommission abgeschlossen.
Firebase Authentication: Wir nutzen in dieser App Google Firebase Authentication, einen Dienst der Google Ireland Limited, Gordon House, 4 Barrow Street, D04 E5W5 Dublin, Irland („Google“). Firebase Authentication ist ein von Google bereitgestellter Anmelde- und Authentifizierungsdienst.
Die Daten für die Verwendung von Firebase-Diensten werden im Google Rechenzentrum europe-west3 in Frankfurt abgelegt. Dabei kann eine Übermittlung in Drittländer nicht ausgeschlossen werden. Wir haben wir mit Google einen entsprechenden Auftragsverarbeitungsvertrag mit den sogenannten Standardvertragsklauseln der EU-Kommission abgeschlossen
6. Wann löschen wir Deine im Zusammenhang mit der App verarbeiteten Daten?
Wir löschen oder anonymisieren deine personenbezogenen Daten, sobald sie für die Zwecke, für die wir sie erhoben oder verwendet haben, nicht mehr erforderlich sind. Du kannst die Löschung von auf Deinem Endgerät lokal gespeicherten Daten durch Deinstallation bzw. Löschung der App durchführen. Die tatsächlichen Bezeichnungen, Bedienschritte und Einstellmöglichkeiten können je nach Version und Einstellung deines Betriebssystems von der Darstellung in dieser Datenschutzerklärung abweichen.
Weitere Daten kannst Du durch Deaktivierung Deines Profils oder durch E-Mail an amnestymoves@amnesty.at löschen. Backups in denen personenbezogene Daten enthalten sein können, werden spätestens nach 365 Tagen automatisch gelöscht.
Wenn Du Fragen oder Anmerkungen zum Umfang mit Deinen personenbezogenen Daten hast, von Deinen Betroffenenrechten oder dem Recht auf Widerruf der Einwilligung Gebrauch machen willst, dann kannst Du dich an unsere Datenschutzbeauftragte wenden per Post, Telefon oder per E-Mail:
Du erreichst uns postalisch an der zuvor genannten Adresse, per E-Mail an datenschutz@amnesty.at oder amnestymoves@amnesty.at bzw. telefonisch unter +43(1)78008-0.
7. Datenschutz-Folgenabschätzung
Eine Datenschutz-Folgenabschätzung wurde und wird begleitend in jeder Entwicklungsphase durchgeführt.
Weitere Informationen, insbesondere über deine Rechte findest du im allgemeinen Datenhinweis von Amnesty International: amnesty.at/datenschutzhinweis