Datenschutzbestimmungen
Verantwortliche Stelle für die LOFINO Dienstleistung
LOFINO GmbH
Kapuzinerweg 37
14532 Kleinmachnow
Telefon: + 030 / 25 92 49 47-11
datenschutz@lofino.de
Name und Anschrift des Datenschutzbeauftragten
DataProtectPlus GmbH
Myriam Kirschner
Hermannstraße 6
60318 Frankfurt am Main
Telefon: + 030 / 25 92 49 47-11
datenschutz@lofino.de
Datenschutzhinweis nach Art. 13 DSGVO
§ 1 Allgemein
Jeder Bürger hat das verfassungsrechtlich gesicherte Recht, über die Verwendung seiner persönlichen Daten selbst zu bestimmen. Aus diesem Grund ist es unsere Pflicht, Ihre Daten, die Sie uns bei der Nutzung der App anvertrauen, zu schützen. Nachfolgend möchten wir Ihnen aufzeigen, welche Daten wir von Ihnen erheben, was mit diesen Daten geschieht und welche Sicherheitsvorkehrungen wir getroffen haben, um diese Daten vor Missbrauch zu schützen. Wir möchten durch diese transparente und verständliche Information unserer Datenschutzbestimmungen gewährleisten, dass Kunden über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten gut informiert sind.
1. Allgemeines zu den Datenverarbeitungen
Für alle nachstehend dargestellten Verarbeitungen gilt, soweit nichts anderes angegeben wird:
a) Keine Verpflichtung zur Bereitstellung & Folgen der Nichtbereitstellung
Die Bereitstellung der personenbezogenen Daten ist nicht gesetzlich oder vertraglich vorgeschrieben und Sie sind nicht verpflichtet, Daten bereitzustellen. Wir informieren Sie im Rahmen des Eingabeprozesses, wenn die Bereitstellung personenbezogener Daten für den jeweiligen Service erforderlich ist (z.B. durch die Bezeichnung als „Pflichtfeld“). Bei erforderlichen Daten hat die Nichtbereitstellung zur Folge, dass der betreffende Service nicht erbracht werden kann. Ansonsten hat die Nichtbereitstellung ggf. zur Folge, dass wir unsere Dienste nicht in gleicher Form und Qualität erbringen können.
b) Einwilligung
In verschiedenen Fällen haben Sie die Möglichkeit, uns im Zusammenhang mit den nachstehend dargestellten Verarbeitungen auch (ggf. für einen Teil der Daten) Ihre Einwilligung in weitergehende Verarbeitungen zu erteilen. In diesem Fall informieren wir Sie im Zusammenhang mit der Abgabe der jeweiligen Einwilligungserklärung gesondert über alle Modalitäten und die Reichweite der Einwilligung und über die Zwecke, die wir mit diesen Verarbeitungen verfolgen. Die auf Ihrer Einwilligung basierenden Verarbeitungen sind daher hier nicht nochmals aufgeführt (Art. 13 Abs.4 DSGVO).
c) Übermittlung personenbezogener Daten an Drittländer
Wenn wir Daten an Drittländer, d.h. Länder außerhalb der Europäischen Union, übermitteln, dann findet die Übermittlung ausschließlich unter Einhaltung der gesetzlich geregelten Zulässigkeitsvoraussetzungen statt.
Wenn die Übermittlung der Daten an ein Drittland nicht zur Erfüllung unseres Vertrags mit Ihnen dient, wir keine Einwilligung Ihrerseits haben, die Übermittlung nicht zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und auch sonst keine Ausnahmeregelung nach Art. 49 DSGVO gilt, übermitteln wir Ihre Daten nur dann an ein Drittland, wenn ein Angemessenheitsbeschluss nach Art. 45 DSGVO oder geeignete Garantien nach Art. 46 DSGVO vorliegen.
Einer dieser Angemessenheitsbeschlüsse ist der Durchführungsbeschluss (EU) 2016/1250 der Kommission vom 12.07.2016 zum sog. „EU-US Datenschutzschild“ („Privacy Shield“) für die USA. Für Übermittlungen an Unternehmen, die nach dem EU-US-Datenschutzschild zertifiziert sind, gilt das Datenschutzniveau grundsätzlich als angemessen i.S.v. Art. 45 DSGVO.
Alternativ oder zusätzlich schaffen durch den Abschluss der von der Europäischen Kommission erlassenen EU-Standarddatenschutzklauseln mit der empfangenden Stelle geeignete Garantien nach Art. 46 Abs. 2 c) DSGVO sowie ein angemessenes Datenschutzniveau. Kopien der EU-Standarddatenschutzklauseln erhalten Sie auf der Website der Europäischen Kommission, abrufbar hier.
d) Hosting bei externen Dienstleistern
Unsere Datenverarbeitung erfolgt in weitem Umfang unter Einschaltung sog. Hostingdienstleister, die uns Speicherplatz und Verarbeitungskapazitäten in ihren Rechenzentren zur Verfügung stellen und nach unserer Weisung auch personenbezogene Daten in unserem Auftrag verarbeiten. Es kann bei allen nachstehend genannten Funktionalitäten geschehen, dass personenbezogene Daten an Hostingdienstleister übermittelt werden. Diese Dienstleister verarbeiten Daten entweder ausschließlich in der EU oder wir haben mithilfe der EU-Standarddatenschutzklauseln (siehe unter c.) ein angemessenes Datenschutzniveau garantiert.
e) Übermittlung an staatliche Behörden
Wir übermitteln personenbezogene Daten an staatliche Behörden (einschließlich Strafverfolgungsbehörden), wenn dies zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der wir unterliegen (Rechtsgrundlage: Art. 6 Abs. 1 c) DSGVO) oder es zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Rechtsgrundlage Art. 6 Abs. 1 f) DSGVO).
f) Speicherdauer
In der Rubrik „Speicherdauer“ ist jeweils angegeben, wie lange wir die Daten für den jeweiligen Verarbeitungszweck nutzen. Nach Ablauf dieser Zeit werden die Daten nicht mehr von uns verarbeitet, sondern in regelmäßigen Abständen gelöscht, sofern nicht eine fortdauernde Verarbeitung und Speicherung gesetzlich vorgesehen ist (insbes. weil sie erforderlich ist zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen) oder Sie uns eine darüber hinausgehende Einwilligung erteilen.
g) Funktionsdauer von Cookies
Die in den folgenden Abschnitten dargestellten Datenverarbeitungen erfolgen zum Teil mithilfe von Cookies. Auf die in einem Cookie gespeicherten Informationen kann über das Internet nur der Betreiber des Webservers zugreifen, der den Cookie ursprünglich gesetzt hat. Ein Zugriff durch Dritte auf diesem Weg ist nicht möglich. Die Cookies haben unterschiedliche Funktionsdauern. Manche Cookies sind nur während einer Sitzung aktiv und werden danach gelöscht, andere funktionieren für längere Zeiträume, meist jedoch kürzer als ein Jahr. Nach Ablauf der Funktionsdauer wird ein Cookie gelöscht. Sie können Cookies mithilfe der Funktionen (zumeist unter „Optionen“ oder „Einstellungen“) verwalten. Dadurch kann das Speichern von Cookies deaktiviert, von Ihrer Zustimmung im Einzelfall abhängig gemacht oder anderweitig eingeschränkt werden. Sie können Cookies auch jederzeit löschen.
h) Bezeichnungen von Datenkategorien
In den nächsten Abschnitten werden für bestimmte Datenarten folgende zusammenfassenden Kategorienbezeichnungen verwendet:
- Accountdaten: Login-/Benutzerkennung und Passwort
- Personenstammdaten: Titel, Anrede/Geschlecht, Vorname, Nachname, Geburtsdatum
- Adressdaten: Straße, Hausnummer, ggf. Adresszusätze, PLZ, Ort, Land
- Kontaktdaten: Telefonnummer(n), Telefaxnummer(n), E-Mail-Adresse(n)
- Anmeldedaten: Informationen über den Service, über den Sie sich angemeldet haben; Zeitpunkte und technische Informationen zu Anmeldung, Bestätigung und Abmeldung; bei der Anmeldung von Ihnen angegebene Daten
- Bestelldaten: Bestellte Produkte, Preise, Zahlungs- und Lieferinformationen
- Zahlungsdaten: Kontodaten, Kreditkartendaten, Daten zu anderen Zahlungsdiensten wie Paypal
- Nutzungsdaten Presse-Verteiler: Akkreditierungs-Thema, Akkreditierungs-Zeitpunkt, Zustimmung zu Verwendungsbeschränkung/Einverständniserklärung, Downloads der Pressematerialien
- Nutzungsprofildaten Newsletter: Öffnen des Newsletters (Datum und Uhrzeit), Inhalte, ausgewählte Verlinkungen, außerdem folgende Informationen des zugreifenden Computersystems: verwendete Internet Protokoll-Adresse (IP-Adresse), Gerätetyp, Betriebssystem und ähnliche technische Informationen.
- Zugriffsdaten: Datum und Uhrzeit des Besuchs unseres Service; die Seite, von der das zugreifende System auf unsere Seite gelangt ist; bei der Nutzung aufgerufene Seiten; Daten zur Sitzungsidentifizierung (Session ID); außerdem folgende Informationen des zugreifenden Computersystems: verwendete Internet Protokoll-Adresse (IP-Adresse), Gerätetyp, Betriebssystem und ähnliche technische Informationen.
2. Wichtige Begriffe
Cookies: Die gespeicherten Cookie-Informationen können sowohl eine Kennung (Cookie-ID) enthalten, die zur Wiedererkennung dient, als auch inhaltliche Angaben wie Anmeldestatus oder Informationen über besuchte Webseiten.
Drittländer: Länder außerhalb der Europäischen Union (EU)
DSGVO: Verordnung (EU) 2016/679 des Europäischen Parlaments und des Rates vom 27. April 2016 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten, zum freien Datenverkehr und zur Aufhebung der Richtlinie 95/46/EG (Datenschutz-Grundverordnung), abrufbar hier.
Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen identifiziert werden kann, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind.
Profiling: Jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere um Aspekte bezüglich Arbeitsleistung, wirtschaftliche Lage, Gesundheit, persönliche Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen
Services: Unsere Angebote, für die diese Datenschutzerklärung gilt (siehe Geltungsbereich).
Tracking: Die Sammlung von Daten und deren Auswertung bzgl. des Verhaltens von Besuchern auf unseren Services.
Tracking-Technologien: Tracking kann sowohl über die auf unseren Webservern gespeicherten Aktivitätsprotokolle (Logfiles) erfolgen als auch mittels Datenerhebung von Ihrem Endgerät über Pixel, Cookies und ähnliche Tracking-Technologien.
Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführten Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Ab-gleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
Pixel: Pixel werden auch Zählpixel, Trackingpixel, Web Beacons oder Web-Bugs genannt. Es handelt sich um kleine, nicht sichtbare Grafiken in HTML-E-Mails oder auf Webseiten. Wird ein Dokument geöffnet, dann wird dieses kleine Bild von einem Server im Internet geladen, wobei das Herunterladen dort registriert wird. So kann der Betreiber des Servers sehen, ob und wann eine E-Mail geöffnet oder eine Webseite besucht wurde. Meist wird diese Funktion durch den Aufruf eines kleinen Programms (Javascript) realisiert. So können bestimmte Arten von Informationen auf Ihrem Computersystem erkannt und weitergegeben werden, etwa der Inhalt von Cookies, Zeit und Datum des Seitenaufrufs sowie eine Beschreibung der Seite, auf der sich das Zählpixel befindet.
§ 2 Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, Anschrift, Telefonnummer, Geburtsdatum oder E-Mail-Adresse). Grundsätzlich können Sie unser Dienstleistungsangebot ohne Angabe personenbezogener Daten nutzen. Die Nutzung bestimmter Services kann allerdings die Angabe personenbezogener Daten erfordern. Diese sind:
- IP-Adresse
- Datum und Uhrzeit der Anfrage
- Inhalt der Aufforderung (konkrete Seite)
- Zugriffsstatus/HTTP-Statuscode
- Jeweils übertragene Datenmenge
- Website, von der die Anforderung kommt
- Betriebssystem und dessen Oberfläche
- Sprache und Version der Software
§ 3 Rechtsgrundlage und Verarbeitungszwecke
Wir verarbeiten Ihre personenbezogenen Daten zu nachfolgenden Zwecken:
- Bereitstellung des Dienstleistungsangebots und Vertragserfüllung gemäß des Dienstleistungsvertrages mit dem Arbeitgeber. (Speicherung von Belegdaten wie Name, Anschrift, Datum, Uhrzeit, Bezeichnung der im Beleg aufgeführten Waren oder Dienstleistungen des Belegherstellers)
- Vom Arbeitgeber eingepflegte Personalstammdaten (Name, Personalnummer, geschäftliche Kontaktdaten, Geburtsdatum) zur Bereitstellung der Dienstleistung und Vertragserfüllung
- Kontaktaufnahme zur Bearbeitung Ihrer Anfragen und der vertraglich vereinbarten Dienstleistung
- Durch den Dienstleistungsvertrag begründete Speicherung von Belegdaten
- Anmeldung und Nutzung der LOFINO Module
- Eine Auswertung der Nutzerdaten zu sonstigen kommerziellen Zwecken findet nicht statt. (Den Nutzern werden somit ausdrücklich keine kommerziellen Angebote unterbreitet.)
Die Rechtsgrundlage für die Datenverarbeitung ist der Vertrag mit dem Arbeitgeber in Verbindung mit einer Vereinbarung zur Auftragsverarbeitung (Art. 28 DSGVO). In keinem Fall verwenden wir die erhobenen Daten zu dem Zweck, Rückschlüsse auf Ihre Person oder Ihr persönliches Konsumverhalten zu ziehen.
§ 4 Kontaktaufnahme
Bei der Kontaktaufnahme mit der LOFINO GmbH (zum Beispiel per Kontaktformular oder E- Mail) werden die Angaben des Nutzers zwecks Bearbeitung der Anfrage sowie für den Fall, dass Anschlussfragen entstehen, gespeichert.
§ 5 Weitergabe von Daten an Dritte
Ihre personenbezogenen Daten werden von uns grundsätzlich nur dann an Dritte gegeben, soweit dies zur Vertragserfüllung erforderlich ist. (Zum Beispiel werden die Belegdaten auf Plausibilität geprüft und auf dem Server zur Erstellung von Gehalt Einlesedateien abgelegt)
Darüber hinaus können Daten an Dritte übermittelt werden, soweit wir aufgrund gesetzlicher Bestimmungen oder durch vollstreckbare behördliche oder gerichtliche Anordnung hierzu verpflichtet sein sollten.
§ 6 Registrierung in der LOFINO App
Die im Rahmen der Registrierung eingegebenen Daten werden für die Zwecke der Administration der Dienstleistung verwendet. Die Nutzer können über registrierungsrelevante Informationen, wie Änderungen des Dienstleistungsumfangs oder technische Umstände per E-Mail oder Push-Nachricht informiert werden. Die erhobenen Daten sind im Rahmen der Registrierung ersichtlich. Dazu gehören als eingeschränkte Daten: Personalnummer, Name, Vorname, Firmenname und E-Mail-Adresse. Für einige Services sind Anschrift, Telefonnummer und Geburtsdatum erforderlich. Nur die eingeschränkten Daten werden zur Erstellung des Zugangs verwendet.
§ 7 Dienstleister
Wir behalten uns vor, bei der Erhebung bzw. Verarbeitung von Daten Dienstleister mit Sitz in der Europäischen Union einzusetzen. Dienstleister erhalten von uns nur Einsicht in personenbezogenen Daten, die sie für ihre konkrete Tätigkeit benötigen. Dienstleister werden in der Regel als sogenannte Auftragsverarbeiter eingebunden, die personenbezogene Daten der Nutzer dieses Dienstleistungsangebots nur nach unseren Weisungen verarbeiten dürfen.
§ 8 Dauer der Speicherung; Aufbewahrungsfristen
Wir speichern Ihre Daten solange, wie dies zur Erbringung unseres Dienstleistungsangebots und der damit verbundenen Services erforderlich ist. In anderen Fällen löschen wir Ihre personenbezogenen Daten mit Ausnahme solcher Daten, die wir zur Erfüllung vertraglicher oder gesetzlicher (z. B. steuer- oder handelsrechtlicher) Aufbewahrungsfristen weiter vorhalten müssen (z. B. Belege und Rechnungen zur Prüfung durch Finanzämter).
§ 9 Betroffenenrechte
Sie haben das Recht, eine Beschwerde bei einer Datenschutzbehörde einzureichen. Sie können sich dazu an die Datenschutzbehörde wenden, die für Ihren Wohnort bzw. Ihr Bundesland zuständig ist oder an die für uns zuständige Datenschutzbehörde. Dies ist:
- (1) Sie haben das Recht, von uns jederzeit Auskunft zu verlangen über die zu Ihnen bei uns gespeicherten Daten, sowie zu deren Herkunft, Empfängern oder Kategorien von Empfängern, an die diese Daten weitergegeben werden und dem Zweck der Speicherung.
- (2) Wenn Sie eine Einwilligung zur Nutzung von Daten erteilt haben, können Sie diese jederzeit widerrufen.
- (3) Alle Informationswünsche, Auskunftsanfragen oder Widersprüche zur Datenverarbeitung richten Sie bitte per E-mail an datenschutz@lofino.de.
§ 10 Beschwerderecht bei der Aufsichtsbehörde
Die Landesbeauftragte für den Datenschutz und für das Recht auf Akteneinsicht (LDA Bbg)
Stahnsdorfer Damm 77, 14532 Kleinmachnow
Tel.: 033203/356-0, Fax: 033203/356-49
E-Mail: Poststelle@LDA.Brandenburg.de
Internet: http://www.lda.brandenburg.de
§ 11 Kontakt
Für Auskünfte und Anregungen zum Thema Datenschutz stehen wir bzw. unser Datenschutzbeauftragter Ihnen unter der Email datenschutz@lofino.de gerne zur Verfügung. Wenn Sie mit uns in Kontakt treten möchten, erreichen Sie uns über die Kontaktdaten zu Beginn dieser Datenschutzbestimmungen.
§ 12 Sicherheitsvorkehrungen und Technikhinweise
(1) Wir unterhalten aktuelle technische Maßnahmen zur Gewährleistung der Datensicherheit, insbesondere zum Schutz Ihrer personenbezogenen Daten vor Gefahren bei Datenübertragungen sowie vor Kenntniserlangung durch Dritte. Diese werden dem aktuellen Stand der Technik entsprechend jeweils angepasst. Unser Rechenzentrum, die HSB Steuerberatung sowie die EDV-Abteilung passen die technischen Sicherheitsvorkehrungen laufend an die aktuellen Gegebenheiten und Anforderungen an. Beides unterliegt der Kontrolle durch den Datenschutzbeauftragten. Trotzdem können Internettechnologien Sicherheitslücken aufweisen, die einen umfassenden Schutz nicht hundertprozentig gewährleisten können.
(2) Alle Mitarbeiterinnen und Mitarbeiter unseres Unternehmens werden regelmäßig zum Datenschutz geschult und sind auf den Datenschutz verpflichtet. Unser Rechenzentrum, die HSB Steuerberatung sowie die EDV-Abteilung passen die technischen Sicherheitsvorkehrungen laufend an die aktuellen Gegebenheiten und Anforderungen an. Beides unterliegt der Kontrolle durch den Datenschutzbeauftragten. Trotzdem können Internettechnologien Sicherheitslücken aufweisen, die einen umfassenden Schutz nicht hundertprozentig gewährleisten können.
§ 13 Einsatz von Google Analytics
- (1) Diese Applikation benutzt Google Analytics, einen Webanalysedienst der Google Inc. („Google“). Google Analytics verwendet so genannte „Cookies“, Textdateien, die auf Ihrem Computer gespeichert werden und die eine Analyse der Nutzung der Applikation durch Sie ermöglichen. Die durch den Cookie erzeugten Informationen über Ihre Benutzung dieser Applikation werden in der Regel an einen Server von Google in den USA übertragen und dort gespeichert. Im Falle der Aktivierung der IP – Anonymisierung in dieser Applikation, wird Ihre IP- Adresse von Google jedoch innerhalb von Mitgliedstaaten der Europäischen Union oder in anderen Vertragsstaaten des Abkommens über den europäischen Wirtschaftsraum zuvor gekürzt. Nur in Ausnahmefällen wird die volle IP- Adresse an einen Server von Google in den USA übertragen und dort gekürzt. Im Auftrag von Lofino wird Google diese Informationen benutzen, um Ihre Nutzung der Applikation auszuwerten, um Reports über die Aktivitäten zusammenzustellen und um weitere mit der Applikation-Nutzung und der Internetnutzung verbundene Dienstleistungen gegenüber dem Uhrzeit-Betreiber zu erbringen.
- (2) Die im Rahmen von Google Analytics übermittelte IP Adresse wird nicht mit anderen Daten durch Google zusammengeführt.
- (3) Sie können die Speicherung der Cookies durch eine entsprechende Einstellung Ihrer Software verhindern; wir weisen Sie jedoch darauf hin, dass Sie in diesem Fall gegebenenfalls nicht sämtliche Funktionen dieser Applikation vollumfänglich werden nutzen können.
- (4) Sie können darüber hinaus die Erfassung der durch das Cookie erzeugten und auf Ihre Nutzung der Applikation bezogenen Daten (inkl. Ihrer IP-Adresse) an Google sowie die Verarbeitung dieser Daten durch Google verhindern, indem sie das unter dem folgenden Link verfügbare Plug-in herunterladen und installieren: http://tools.google.com/dlpage/gaoptout?hl=de.
- (5) Diese Applikation verwendet Google Analytics mit der Erweiterung „anonymizelp()“.Dadurch werden IP-Adressen gekürzt weiterverarbeitet, eine direkte Personenbeziehbarkeit kann damit ausgeschlossen werden.
- (6) Die Nutzung von Google Analytics erfolgt in Übereinstimmung mit den Voraussetzungen, auf die sich die deutschen Datenschutzbehörden mit Google verständigten. Informationen des Drittanbieters: Google Dublin, Google Ireland ltd. (…).Übersicht zum Datenschutz: http://www.google.com/intl/de/analytics, Datenschutzerklärung: http://www.google.de/intl/de/policies/privacy/
§ 14 Push-Benachrichtigungen
Nachfolgend beschreiben wir, wie Ihre personenbezogenen Daten verarbeitet werden, wenn Sie über unsere Services sog. Push-Benachrichtigungen abonnieren (also Mitteilungen, die Ihnen auch dann auf Ihr Mobilgerät gesendet werden, wenn Sie unsere App gerade nicht benutzen).
Sie können diese Push-Benachrichtigungen in den App-Einstellungen Ihres Mobilgeräts ein- und ausschalten. Wenn Sie – z.B. beim ersten Starten der App – erstmalig Push-Mitteilungen aktivieren, wird eine eindeutige Kennnummer Ihres Mobilgeräts (Geräte-ID) an den Dienst kommuniziert, der bei Ihrem Betriebssystemanbieter die Push-Funktionalität bereitstellt (bei Android: „Firebase Cloud Messaging Cloud“, bei iOS „Apple Push Notification Service“). Dieser Dienst liefert einen sog. Identifier („Push Notification Identifier“) zurück, der keine Rückschlüsse mehr auf die Geräte-ID und somit auf Sie als Nutzer zulässt. Die Kommunikation mit dem Push-Server erfolgt danach immer mit diesem Identifier. Damit ist gewährleistet, dass im Rahmen der LOFINO – App die Geräte-ID darüber hinaus nicht weiter verwendet wird.
a) Zweckbestimmung der Datenverarbeitung und Rechtsgrundlage sowie ggf. berechtigte Interessen, Speicherdauer
Datenkategorie: Push Notification Identifier
Zweckbestimmung: Auslieferung von Push-Nachrichten auf Anforderung des Nutzers
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. b) DSGVO
Speicherdauer: Dauer der Inanspruchnahme des Push-Services
b) Empfänger der personenbezogenen Daten
Empfängerkategorie: Anbieter der Push-Funktionalität (bei Android: „Firebase Cloud Messaging, bei iOS „Apple Push Notification Service“)
Betroffene Daten: Geräte-ID/ Geräteerkennung
Rechtsgrundlage: Art. 6 Abs. 1 Buchst. b) DSGVO
Privacy policy
Responsible for the LOFINO service
LOFINO GmbH
Kapuzinerweg 37
14532 Kleinmachnow
Phone: + 030 / 25 92 49 47-11
datenschutz@lofino.de
Name and address of the data protection officer
DataProtectPlus GmbH
Myriam Kirschner
Hermannstraße 6
60318 Frankfurt am Main
Data protection notice according to Art. 13 DSGVO
§ 1 General
Every citizen has the constitutionally guaranteed right to decide on the use of his or her personal data. For this reason, it is our duty to protect the data you entrust us with when using the app. In the following, we would like to show you what data we collect from you, what happens with this data and what security measures we have taken to protect this data from misuse. By this transparent and comprehensible information of our data protection regulations we want to ensure that customers are well informed about the collection, processing and use of personal data.
- General information on data processing
Unless otherwise specified, the following applies to all processing operations described below:
a) No obligation to provide & consequences of not providing
The provision of personal data is not required by law or contract and you are not obliged to provide data. We will inform you during the input process if the provision of personal data is required for the respective service (e.g. by designating it as a „mandatory field“). If data is required, failure to provide it will result in the inability to provide the service in question. Otherwise, failure to provide data may mean that we cannot provide our services in the same form and quality.
b) Consent
In various cases you have the possibility to give us your consent to further processing in connection with the processing described below (if necessary for part of the data). In this case, we will inform you separately in connection with the submission of the respective declaration of consent about all modalities and the scope of the consent and about the purposes we pursue with these processing operations. The processing operations based on your consent are therefore not listed here again (Art. 13 para. 4 DSGVO).
c) Transmission of personal data to third countries
If we transfer data to third countries, i.e. countries outside the European Union, the transfer will only take place in compliance with the legal requirements for admissibility.
If the transfer of the data to a third country does not serve to fulfill our contract with you, if we do not have your consent, if the transfer is not necessary for the assertion, exercise or defense of legal claims and if no other exception under Art. 49 DSGVO applies, we will only transfer your data to a third country if an adequacy finding under Art. 45 DSGVO or suitable guarantees under Art. 46 DSGVO are available.
One of these adequacy decisions is Commission Decision (EU) 2016/1250 of 12.07.2016 on the implementation of the so-called „EU-US Privacy Shield“ for the USA. For transmissions to companies certified under the EU-US Privacy Shield, the level of data protection is generally considered adequate within the meaning of Art. 45 DSGVO.
Alternatively or additionally, by concluding the EU standard data protection clauses issued by the European Commission with the receiving body, appropriate guarantees in accordance with Art. 46 para. 2 c) DSGVO and an adequate level of data protection are created. Copies of the EU standard data protection clauses can be obtained from the European Commission’s website, available here.
d) Hosting with external service providers
Our data processing is carried out to a large extent by so-called hosting service providers who provide us with storage space and processing capacities in their computer centres and who also process personal data on our behalf in accordance with our instructions. It may happen that personal data is transferred to hosting service providers for all of the functionalities mentioned below. These service providers either process data exclusively in the EU or we have guaranteed an adequate level of data protection by means of the EU standard data protection clauses (see under c.).
e) Transmission to governmental authorities
We transmit personal data to state authorities (including law enforcement agencies) if this is necessary to fulfill a legal obligation to which we are subject (legal basis: Art. 6 para. 1 c) DSGVO) or if it is necessary to assert, exercise or defend legal claims (legal basis: Art. 6 para. 1 f) DSGVO).
f) Storage period
In the section „Storage period“ you will find information on how long we use the data for the respective processing purpose. After this period has elapsed, the data will no longer be processed by us, but will be deleted at regular intervals unless continued processing and storage is required by law (in particular because it is necessary to fulfill a legal obligation or to assert, exercise or defend legal claims) or you give us consent that goes beyond this.
g) Duration of function of cookies
The data processing described in the following sections is partly carried out with the help of cookies. The information stored in a cookie can only be accessed via the Internet by the operator of the web server that originally set the cookie. Access by third parties in this way is not possible. The cookies have different functional durations. Some cookies are only active during a session and are deleted afterwards, others function for longer periods of time, but usually for less than a year. A cookie is deleted after the function duration has expired. You can manage cookies using the functions (usually under „Options“ or „Settings“). This can deactivate the storage of cookies, make it dependent on your consent in individual cases or otherwise restrict it. You can also delete cookies at any time.
h) Names of data categories
In the following sections, the following summary category names are used for certain types of data:
- Account data: Login/user ID and password
- Person master data: Title, salutation/gender, first name, last name, date of birth
- Address data: Street, house number, address supplements if necessary, postal code, city, country
- Contact details: Phone number(s), fax number(s), e-mail address(es)
- Registration data: Information about the service you have registered for; dates and technical information about registration, confirmation and cancellation; data you provided during registration
- Order data: Ordered products, prices, payment and delivery information
- Payment details: Account data, credit card data, data for other payment services like Paypal
- Usage data press distribution list: Accreditation topic, accreditation date, consent to restriction of use/declaration of consent, downloads of press materials
- Usage profile data newsletter: opening of the newsletter (date and time), contents, selected links, in addition the following information of the accessing computer system: used internet protocol address (IP address), device type, operating system and similar technical information.
- Access data: Date and time of the visit to our service; the page from which the accessing system reached our site; pages called up during use; data for session identification (session ID); also the following information of the accessing computer system: Internet protocol address (IP address) used, device type, operating system and similar technical information.
2. Important terms
Cookies: The stored cookie information can contain both an identification (cookie ID), which is used for recognition, as well as content information such as registration status or information about visited websites.
Third countries: Countries outside the European Union (EU)
DSGVO/GDPR: Regulation (EU) 2016/679 of the European Parliament and of the Council of 27 April 2016 on the protection of individuals with regard to the processing of personal data, on the free movement of such data and repealing Directive 95/46/EC (basic data protection regulation), available here.
Personal data: Any information relating to an identified or identifiable natural person. An identifiable natural person is one who can be identified, directly or indirectly, in particular by reference to an identifier such as a name, an identification number, location data, on-line identification, or one or more factors specific to the physical, physiological, genetic, mental, economic, cultural or social identity of that natural person.
Profiling: any automated processing of personal data consisting of the use of personal data to evaluate certain personal aspects relating to a natural person, in particular with a view to analysing or predicting aspects relating to the performance of work, economic situation, health, personal preferences, interests, reliability, conduct, location or change of location of that natural person
Services: Our services to which this privacy policy applies (see scope of application).
Tracking: The collection of data and its evaluation with regard to the behaviour of visitors to our services.
Tracking technologies: Tracking can be carried out both via the activity protocols (log files) stored on our web servers and by means of data collection from your end device via pixels, cookies and similar tracking technologies.
Processing: Any operation or set of operations performed with or without the use of automated means to collect, collect, organize, organize, store, adapt or modify, retrieve, query, use, disclose by transmission, dissemination or otherwise make available, match or combine, limit, delete or destroy any personal data.
Pixels: Pixels are also called tracking pixels, tracking pixels, web beacons or web bugs. They are small, non-visible graphics in HTML e-mails or on web pages. When a document is opened, this small image is downloaded from a server on the Internet, where the download is registered. In this way, the server operator can see whether and when an e-mail was opened or a web page was visited. Mostly this function is realized by calling a small program (Javascript). In this way, certain types of information on your computer system can be recognised and passed on, such as the content of cookies, the time and date of the page call and a description of the page on which the pixel-code is located.
§ 2 Personal data
Personal data is any information relating to an identified or identifiable natural person (e.g. name, address, telephone number, date of birth or e-mail address). In principle, you can use our range of services without providing personal data. However, the use of certain services may require you to provide personal data. These are:
- IP address
- Date and time of the request
- Content of the call (specific page)
- Access status/HTTP status code
- Amount of data transferred in each case
- Website from which the request comes
- Operating system and its interface
- Language and version of the software
§ 3 Legal basis and processing purposes
- We process your personal data for the following purposes:
- Provision of the service offer and fulfillment of the contract in accordance with the service contract with the employer. (Storage of document data such as name, address, date, time, description of the goods or services of the document manufacturer listed in the document)
- Personnel master data entered by the employer (name, personnel number, business contact data, date of birth) for the provision of the service and fulfillment of the contract
- Contacting for processing your enquiries and the contractually agreed service
- Storage of voucher data established by the service contract
- Registration and use of the LOFINO modules
- An evaluation of the user data for other commercial purposes does not take place. (The users are therefore expressly not made any commercial offers).
The legal basis for data processing is the contract with the employer in conjunction with an agreement on commissioned processing (Art. 28 DSGVO). Under no circumstances do we use the data collected for the purpose of drawing conclusions about your person or your personal consumer behaviour.
§ 4 Establishment of contact
When contacting LOFINO GmbH (e.g. via contact form or e-mail), the user’s details will be stored for the purpose of processing the enquiry and in the event that follow-up questions arise.
§ 5 Passing on of data to third parties
Your personal data will only be given to third parties by us if this is necessary for the fulfillment of the contract. (For example, the voucher data is checked for plausibility and stored on the server to create salary import files).
In addition, data may be transferred to third parties if we should be obliged to do so by law or by an enforceable official or court order.
§ 6 Registration in the LOFINO App
The data entered during registration will be used for the purpose of administration of the service. Users can be informed about information relevant to registration, such as changes in the scope of services or technical circumstances by e-mail or push message. The collected data is visible during the registration process. This includes as restricted data: Personnel number, name, first name, company name and e-mail address. Some services require address, telephone number and date of birth. Only the restricted data is used to create the access.
§ 7 Service provider
We reserve the right to use service providers based in the European Union when collecting or processing data. Service providers are only granted access to personal data that they require for their specific activities. Service providers are usually integrated as so-called contract processors, who may only process personal data of users of this service offer according to our instructions.
§ 8 Duration of storage; retention periods
We store your data for as long as necessary to provide our range of services and associated services. In other cases, we will delete your personal data, with the exception of data that we must continue to hold in order to fulfil contractual or legal (e.g. tax or commercial law) retention periods (e.g. receipts and invoices for examination by tax authorities).
§ 9 Rights of data subjects
You have the right to lodge a complaint with a data protection authority. You can contact the data protection authority responsible for your place of residence or your state or the data protection authority responsible for us. This is:
(1) You have the right to demand information from us at any time about the data stored about you by us, as well as its origin, recipients or categories of recipients to whom the data is passed on and the purpose of storage.
(2) If you have given your consent to the use of data, you can revoke this consent at any time.
(3) Please send all requests for information, requests for disclosure or objections to data processing by e-mail to datenschutz@lofino.de.
§ 10 Right of complaint to the supervisory authority
The State Commissioner for Data Protection and the Right of Access to Files (LDA Bbg)
Stahnsdorf Dam 77, 14532 Kleinmachnow
Tel.: 033203/356-0, Fax: 033203/356-49
E-mail: Poststelle@LDA.Brandenburg.de
Internet: http://www.lda.brandenburg.de
§ 11 Contact
For information and suggestions on the subject of data protection, please contact us or our data protection officer at datenschutz@lofino.de. If you would like to contact us, you can reach us via the contact details at the beginning of this data protection policy.
§ 12 Safety precautions and technical information
(1) We maintain current technical measures to ensure data security, in particular to protect your personal data from risks during data transmission and from third parties gaining knowledge of them. These measures are adapted to the current state of the art. Our computer centre, HSB Steuerberatung as well as the IT department continuously adapt the technical security measures to the current circumstances and requirements. Both are subject to control by the data protection officer. Nevertheless, Internet technologies can have security gaps that cannot guarantee comprehensive protection one hundred percent.
(2) All employees of our company are regularly trained in data protection and are committed to data protection. Our computer centre, HSB Steuerberatung as well as the IT department continuously adapt the technical security measures to the current circumstances and requirements. Both are subject to control by the data protection officer. Nevertheless, Internet technologies can have security gaps that cannot guarantee comprehensive protection one hundred percent.
§ 13 Use of Google Analytics
(1) This application uses Google Analytics, a web analysis service of Google Inc. („Google“). Google Analytics uses so-called „cookies“, text files which are stored on your computer and which enable an analysis of your use of the application. The information generated by the cookie about your use of this application is usually transferred to a Google server in the USA and stored there. In the event that IP anonymisation is activated in this application, however, your IP address will be shortened by Google within member states of the European Union or in other contracting states of the Agreement on the European Economic Area. Only in exceptional cases will the full IP address be transferred to a Google server in the USA and shortened there. On behalf of Lofino, Google will use this information for the purpose of evaluating your use of the application, compiling reports on website activity and providing other services relating to website activity and internet usage for the time operator.
(2) The IP address transmitted by Google Analytics is not combined with other data by Google.
(3) You can prevent the storage of cookies by adjusting your software settings accordingly; however, we would like to point out that in this case you may not be able to use all functions of this application to their full extent.
(4) You can also prevent the collection of the data generated by the cookie and related to your use of the application (including your IP address) to Google and the processing of this data by Google by downloading and installing the plug-in available under the following link: http://tools.google.com/dlpage/gaoptout?hl=de.
(5) This application uses Google Analytics with the extension „anonymizelp()“, which allows IP addresses to be processed in a shortened form, thus excluding any direct personal reference.
(6) The use of Google Analytics is in accordance with the requirements agreed upon by the German data protection authorities with Google. Information of the third party provider: Google Dublin, Google Ireland ltd. (…).overview of data protection: http://www.google.com/intl/de/analytics, privacy policy: http://www.google.de/intl/de/policies/privacy/
§ 14 Push notifications
Below we describe how your personal data is processed when you subscribe to so-called push notifications via our services (i.e. messages that are sent to your mobile device even if you are not using our app at the time).
You can turn these push notifications on and off in the app settings of your mobile device. When you activate push notifications for the first time – e.g. when you start the app for the first time – a unique identification number of your mobile device (device ID) is communicated to the service that provides push functionality with your operating system provider (for Android: „Firebase Cloud Messaging Cloud“, for iOS: „Apple Push Notification Service“). This service returns a so-called identifier („Push Notification Identifier“), which no longer allows any conclusions to be drawn about the device ID and thus about you as a user. The communication with the push server will then always take place with this identifier. This ensures that the Device ID is not used any further within the LOFINO – App.
a) Purpose of data processing and legal basis as well as legitimate interests, storage period
Data category: Push Notification Identifier
Purpose: Delivery of push messages at the request of the user
Legal basis: Article 6(1)(b) DSGVO
Storage period: Duration of the use of the Push Service
(b) the recipient of the personal data
Recipient category: Provider of the push functionality (for Android: „Firebase Cloud Messaging, for iOS: „Apple Push Notification Service“)
Data concerned: Device ID/ device recognition
Legal basis: Article 6(1)(b) DSGVO