Datenverarbeitungsvertrag

Laden Sie den iLost-DPA herunter

DPA öffnen (PDF)

Basierend auf zwei unterschiedlichen Verarbeitungsphasen, wie in der visuellen Übersicht am Ende dieser Seite dargestellt, wird beschrieben, wie personenbezogene Daten innerhalb der iLost-Plattform verarbeitet werden. Es werden die Arten der betroffenen personenbezogenen Daten, die Rollen der Parteien und der geltende Rechtsrahmen erläutert, ohne Bezugnahme auf spezifische Rechtsvorschriften der einzelnen Gerichtsbarkeiten.

Definitionen

  1. Anspruch / Verlustmeldung: Informationen, die ein Nutzer über die iLost-Plattform übermittelt, um sein Eigentumsrecht oder seinen Anspruch auf einen Fundgegenstand geltend zu machen.
    Ein Anspruch wird erst wirksam, nachdem das Konto des Nutzers verifiziert wurde, was die Angabe einer E-Mail-Adresse und die Validierung über einen Verifizierungslink sowie die Annahme durch iLost gemäß seinen Richtlinien umfasst. Nach dieser Annahme werden die Angaben zum Anspruch dem betreffenden Kunden zur Verfügung gestellt und der Fundgegenstand wird mit dem Nutzer in Verbindung gebracht.
    Dieser Zeitpunkt markiert den Übergang von Phase 1 zu Phase 2, wie unten beschrieben.

  2. Kunde: Eine Organisation, ein Unternehmen oder eine Einrichtung (einschließlich, aber nicht beschränkt auf Hotels, Veranstaltungsorte, Transportunternehmen und öffentliche Einrichtungen), die die iLost-Plattform zur Registrierung und Verwaltung von Fundgegenständen nutzt.
    Zur Vermeidung von Zweifeln: Ein Kunde ist keine natürliche Person.

  3. Verantwortlicher: Die Stelle, die die Zwecke und wesentlichen Mittel der Verarbeitung personenbezogener Daten festlegt.

  4. Fundstück: Ein Gegenstand, der von einem Kunden auf der iLost-Plattform registriert wurde. Ein Fundstück ist zunächst möglicherweise nicht mit einer identifizierbaren Person verknüpft und kann nach Einreichung und Überprüfung eines Anspruchs mit einem Benutzer in Verbindung gebracht werden.

  5. iLost-Plattform: Die von iLost betriebene Online-Software-as-a-Service-Lösung, einschließlich ihrer Webschnittstelle und eingebetteten Such-Widgets, die es Kunden ermöglicht, gefundene Gegenstände zu registrieren und zu verwalten, und Nutzern die Suche, Meldung, Reklamation und Wiedererlangung von verlorenen Gegenständen ermöglicht.

  6. Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen, einschließlich, aber nicht beschränkt auf Name, Kontaktdaten, Identifikationsdaten, Fotos, Informationen im Zusammenhang mit Ansprüchen und Online-Identifikatoren wie IP-Adressen.

  7. Verarbeitung: Jeder Vorgang oder jede Reihe von Vorgängen, die mit personenbezogenen Daten durchgeführt werden, wie z. B. Erhebung, Speicherung, Nutzung, Offenlegung oder Löschung.

  8. Auftragsverarbeiter: Die Stelle, die personenbezogene Daten im Auftrag eines Verantwortlichen verarbeitet.

  9. Benutzer: Eine natürliche Person, die direkt mit der iLost-Plattform interagiert, um einen verlorenen Gegenstand zu suchen, zu beanspruchen oder wiederzuerlangen, und deren personenbezogene Daten in diesem Zusammenhang verarbeitet werden. Sofern geltendes Datenschutzrecht Anwendung findet, gilt ein Benutzer als „betroffene Person“, „Einzelperson“ oder ein gleichwertiges Rechtskonzept gemäß diesem Recht.

1. Phase 1 – Vom Kunden initiierte Verarbeitung

In Phase 1 werden personenbezogene Daten von einem Mitarbeiter des Kunden im Rahmen der Registrierung und Verwaltung gefundener Gegenstände in die iLost-Plattform eingegeben.

Maßnahmen wie die proaktive Benachrichtigung eines möglichen Eigentümers oder die Zuordnung eines Gegenstands an einem physischen Serviceschalter gelten als Teil von Phase 1 und unterliegen weiterhin der Verantwortung des Kunden als Verantwortlicher.

Dies kann unter anderem Folgendes umfassen:

  • Kontaktdaten eines bekannten oder vermuteten Eigentümers, der noch kein Nutzer ist
  • Notizen zu einem Fundstück
  • Personenbezogene Daten, die zur Bestätigung der Abholung eines Gegenstands ohne Online-Anmeldung eingegeben werden

Rollen in Phase 1

In Phase 1:

  • Der Kunde bestimmt den Zweck der Verarbeitung, nämlich die Rückgabe gefundener Gegenstände an ihre rechtmäßigen Eigentümer
  • Der Kunde fungiert als Verantwortlicher
  • iLost fungiert als Auftragsverarbeiter und verarbeitet personenbezogene Daten, die vom Kunden und in dessen Auftrag eingegeben wurden

Die Verarbeitungsbeziehung in Phase 1 unterliegt der geltenden Datenverarbeitungsvereinbarung (DPA).

2. Phase 2 – Vom Nutzer initiierte Verarbeitung (nach der Überprüfung)

Phase 2 beginnt erst, nachdem ein Nutzer einen Anspruch oder eine Verlustmeldung eingereicht hat und iLost seinen Überprüfungsprozess abgeschlossen hat.
Diese Überprüfung umfasst die Bestätigung der Kontaktdaten des Nutzers (z. B. E-Mail-Überprüfung) und die Einhaltung der internen Validierungs- und Missbrauchsbekämpfungsrichtlinien von iLost.

Bis zum Abschluss der Überprüfung werden die vom Nutzer bereitgestellten personenbezogenen Daten ausschließlich von iLost verarbeitet und nicht an den Kunden weitergegeben.

Sobald ein Anspruch oder eine Verlustmeldung von iLost überprüft und genehmigt wurde, wird Phase 2 aktiv und die relevanten personenbezogenen Daten des Nutzers können dem Kunden zur weiteren Verarbeitung zur Verfügung gestellt werden.

Vom Nutzer bereitgestellte personenbezogene Daten

Während des Antrags- oder Verlustmeldungsprozesses kann ein Nutzer personenbezogene Daten bereitstellen, wie z. B.:

  • Name und Kontaktdaten
  • Informationen oder Erklärungen im Zusammenhang mit dem Antrag, die den Eigentumsanspruch belegen sollen
  • Über die iLost-Plattform ausgetauschte Nachrichten
  • Versand- und Adressdaten für die Rücksendung eines Artikels
  • Unterstützende Bilder oder Dokumente

Durch das Einreichen eines Antrags oder einer Verlustmeldung und das Akzeptieren der geltenden Datenschutzrichtlinie und Bedingungen stimmt der Nutzer der Verarbeitung dieser personenbezogenen Daten durch iLost zum Zwecke des Betriebs der iLost-Plattform und der Erleichterung der Wiederbeschaffung verlorener Gegenstände zu.

Rolle von iLost in Phase 2

In Phase 2:

  • iLost fungiert als unabhängiger Verantwortlicher für alle vom Nutzer initiierten Verarbeitungsvorgänge auf der iLost-Plattform, darunter:
  • Nutzerüberprüfung
  • Kontoverwaltung
  • Bearbeitung von Ansprüchen
  • Kommunikationsabläufe

  • Versandinitiierung

  • iLost entscheidet auf der Grundlage der Überprüfungsergebnisse und der Plattformrichtlinien, ob und wann personenbezogene Daten des Nutzers dem Kunden zur Verfügung gestellt werden.

Identifizierbarkeit von Fundgegenständen in Phase 2

Ein in Phase 1 registrierter Fundgegenstand stellt nicht automatisch personenbezogene Daten dar.

Ein Fundgegenstand wird nur dann mit einer identifizierbaren Person verknüpft, wenn der Anspruch oder die Verlustmeldung eines Benutzers von iLost überprüft wurde.

Ab diesem Zeitpunkt gilt der Fundgegenstand als rückverfolgbare personenbezogene Daten innerhalb der iLost-Plattform.

Weitergabe personenbezogener Daten an den Kunden

Nach der Überprüfung können bestimmte personenbezogene Daten des Benutzers (z. B. Angaben zur Fundmeldung oder Versanddetails) an den Kunden weitergegeben werden, sofern und soweit dies erforderlich ist, um:

  • die Eigentumsverhältnisse zu überprüfen
  • eine endgültige Entscheidung über die Zuordnung zu treffen
  • den Versand oder die physische Übergabe des Gegenstands vorzubereiten und durchzuführen

Vor der Überprüfung und Genehmigung durch iLost werden keine personenbezogenen Daten des Benutzers an den Kunden weitergegeben.

3. Beziehung zwischen Verantwortlichen in Phase 2

Sobald die personenbezogenen Daten des Benutzers nach der Überprüfung an den Kunden weitergegeben wurden, werden die personenbezogenen Daten im Rahmen eines Controller-to-Controller (C2C)-Rahmens verarbeitet und ausgetauscht.

In diesem Rahmen gilt Folgendes:

  • iLost bleibt Verantwortlicher für die vom Nutzer initiierte Verarbeitung innerhalb der iLost-Plattform, einschließlich Überprüfung, Kommunikation und Workflows auf Plattformebene.
  • Der Kunde bleibt Verantwortlicher für seine eigene nachfolgende Verarbeitung, einschließlich:
  • Überprüfung der Eigentumsverhältnisse und endgültige Entscheidung über die Zuordnung
  • Führung interner Aufzeichnungen
  • Vorbereitung und Durchführung des Versands oder der physischen Übergabe

Jede Partei legt unabhängig ihre eigenen Zwecke und wesentlichen Mittel der Verarbeitung fest und ist für die Einhaltung der geltenden Datenschutzgesetze in Bezug auf ihre eigenen Verarbeitungsaktivitäten verantwortlich.

4. Zusammenfassung der Verantwortlichkeiten

Phase 1

  • Kunde: Verantwortlicher
  • iLost: Auftragsverarbeiter (gemäß der Datenverarbeitungsvereinbarung)

Phase 2 (Nach der Überprüfung und Offenlegung)

  • iLost: Unabhängiger Verantwortlicher (vom Nutzer initiierte Verarbeitung)
  • Kunde: Unabhängiger Verantwortlicher (eigene operative Verarbeitung)
  • Personenbezogene Daten werden im Rahmen einer Verantwortlicher-zu-Verantwortlicher-Klausel ausgetauscht

5. Anwendbare Datenschutz- und Privatsphärenvorschriften

Die folgende Liste ist nicht vollständig.
Die geltenden Anforderungen hängen vom Standort des Kunden, des Nutzers und den relevanten Verarbeitungsaktivitäten (Phase 1 und/oder Phase 2) ab.

Amerika

  • Vereinigte Staaten (ausgewählt): California Consumer Privacy Act / California Privacy Rights Act (CCPA/CPRA) – hauptsächlich Phase 2
  • Vereinigte Staaten: Andere Datenschutzgesetze der Bundesstaaten (sofern zutreffend) – Phase 1 und/oder Phase 2
  • Brasilien: Allgemeines Datenschutzgesetz (LGPD) – Phase 1 und Phase 2
    – Kanada: PIPEDA und geltende Datenschutzgesetze der Provinzen – Phase 1 und Phase 2
    – Mexiko: Bundesgesetz zum Schutz personenbezogener Daten im Besitz privater Parteien – Phase 1 und Phase 2
    – Argentinien: Datenschutzgesetz – Phase 1 und Phase 2

Asien-Pazifik-Raum

  • China: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2 (sofern zutreffend)
  • Japan: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Singapur: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Australien: Datenschutzgesetz von 1988 – Phase 1 und Phase 2
  • Südkorea: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Indien: Gesetz zum Schutz digitaler personenbezogener Daten – Phase 1 und Phase 2 (sofern zutreffend)
  • Indonesien: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Thailand: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Malaysia: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Philippinen: Datenschutzgesetz – Phase 1 und Phase 2
  • Vietnam: Verordnung zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Hongkong: Verordnung zum Schutz personenbezogener Daten (Datenschutz) – Phase 1 und Phase 2
  • Taiwan: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2

Europa

  • Europäische Union / EWR: Datenschutz-Grundverordnung (DSGVO) – Phase 1 und Phase 2
  • Vereinigtes Königreich: UK-DSGVO und Datenschutzgesetz 2018 – Phase 1 und Phase 2
  • Schweiz: Bundesgesetz über den Datenschutz (BDS) – Phase 1 und Phase 2

Naher Osten und Afrika

  • Vereinigte Arabische Emirate / DIFC / ADGM Datenschutzbestimmungen – Phase 1 und Phase 2
  • Katar: Datenschutzgesetz – Phase 1 und Phase 2
  • Israel: Gesetz zum Schutz der Privatsphäre – Phase 1 und Phase 2
  • Saudi-Arabien: Gesetz zum Schutz personenbezogener Daten (PDPL) – Phase 1 und Phase 2
  • Bahrain / Oman: Anwendbare nationale Datenschutzgesetze – Phase 1 und Phase 2
  • Türkei: Gesetz zum Schutz personenbezogener Daten – Phase 1 und Phase 2
  • Südafrika: Gesetz zum Schutz personenbezogener Daten (POPIA) – Phase 1 und Phase 2
  • Nigeria: Nigeria Data Protection Act (NDPA) – Phase 1 und Phase 2
  • Kenia: Data Protection Act – Phase 1 und Phase 2

Jede Partei bleibt für die Einhaltung der für ihre eigenen Verarbeitungsaktivitäten und ihren eigenen Zuständigkeitsbereich geltenden Datenschutzgesetze verantwortlich und muss iLost schriftlich über alle wesentlichen Ergänzungen oder Änderungen zu den oben genannten Gesetzen informieren.

Visuelle Übersicht über den Datenfluss

Nachstehend finden Sie ein visuelles Diagramm, das den gesamten Datenfluss zwischen Phase 1 und Phase 2 veranschaulicht, einschließlich der Rollen der Organisation und des Benutzers sowie des Übergangs der Verantwortlichkeiten des Verantwortlichen.

Datenflussdiagramm für Phase 1 und Phase 2