Ghostery-Tarife und -Produkte – Datenschutzerklärung

Zeitpunkt des Inkrafttretens: 20 November 2019

I. Einleitung:

Die Ghostery-Tarife und -Produkte (“GTP”) sind Eigentum der Cliqz International GmbH (“Cliqz” das Unternehmen), Arabellastrasse 23, 81925 München, Deutschland. Die Gesellschaft als verantwortliche Stelle im datenschutzrechtlichen Sinne nimmt den Schutz Ihrer Daten sehr ernst und behält bei der Zurverfügungstellung der GBE stets den Schutz Ihrer Daten im Auge.

Wir sind uns auch bewusst, dass die GTP populär sind, weil die Menschen informiert sein wollen und die Kontrolle haben möchten. Wir teilen die Ansicht, dass ein richtig umgesetzter Datenschutz die Möglichkeit der Kontrolle bietet, und dies ist der Grund dafür, dass Datenschutz ein zentrales Merkmal der GPP und jedweder neuen Funktionalität der GTP ist. Daher sammeln wir Daten nur, um Produkte zum Nutzen unserer User zu entwickeln und wir als Gesellschaft glauben daran, dass wir von Ihnen nur dann personenbezogene Daten erfassen sollten, wenn Sie dem ausdrücklich zugestimmt haben.

Die Kernfunktionalität des GTP besteht darin, die Benutzer darüber zu informieren, welche Tracking-Technologien von Drittanbietern („Tracker“) sie auf einer bestimmten Website oder Geräteanwendung verfolgen, sodass Einzelpersonen die persönliche Kontrolle über diese Aktivität ausüben können, indem sie sie für ein saubereres, schnelleres und sichereres Surfen und die Verwendung ihrer eigenen Geräte blockieren.

II. Basis für die Erfassung und Verwendung personenbezogener Daten

Es gibt keinerlei Verpflichtung Ihrerseits, personenbezogene Daten bereitzustellen. Sollten Sie sich jedoch dafür entscheiden, haben wir ein legitimes Interesse an deren Erfassung und Verwendung, z.B. um Produkte oder Leistungen bereitzustellen oder eine Transaktion mit Ihnen abzuschließen.

III. Begriff der personenbezogenen Daten

Personenbezogene Daten sind alle Informationen, die über eine identifizierte oder identifizierbare Person irgendeine Aussage treffen, also z.B. Name oder Alter. Nicht von diesem Begriff umfasst sind dagegen anonymisierte Angaben, die keiner konkreten Person mehr zugeordnet werden können, zum Beispiel Statistiken über Nutzungsverhalten.

IV. Was für personenbezogene Daten erfasst werden

Nutzer-Account: Wenn Sie einen Account erstellen, erheben wir die folgenden personenbezogenen Daten: Name, E-Mail-Adresse.

Viele GTP-Nutzer hatten zuvor um die Möglichkeit ersucht, Konten zu eröffnen, um Produktinformationen zu erhalten und auch die Vorteile neuer Funktionen, bestimmter Ghostery-Produkte und höherer Servicestufen zu nutzen. Sie müssen kein Benutzerkonto eröffnen, um die Ghostery-Produkterweiterung (GBE) mit der Serviceebene Basistarif nutzen zu können. Wenn Sie sich in diesem Fall dafür entscheiden, einen Account zu eröffnen, können Sie dies entweder beim Download der GBE oder zu irgendeinem anderen Zeitpunkt über die GBE-Einstellungen erledigen. Sie können Ihren Account jederzeit deaktivieren; Sie haben dann aber keinen Zugang mehr zu den Leistungen Ihres Accounts.

IP-Adresse: Wir unterscheiden nicht zwischen statischen und dynamischen IP-Adressen – welche IP-Adresse zum Einsatz kommt, entscheidet der Nutzer. Unter Ziffer XIII. (Sicherheit) finden Sie Informationen dazu, welche Maßnahmen wir ergreifen, um von der GBE gesammelte Daten – einschließlich der IP-Adresse – zu schützen.

V. Wie personenbezogene Daten verwendet werden

Die Verwendung der von uns erfassten Daten, wenn Sie einen Account eröffnet haben, dient dazu: (i) Ihre GTP-Einstellungen über Browser und Geräte hinweg zu synchronisieren, (ii) ihre Login-Daten zu verifizieren und (iii) über Ihre Email-Adresse direkt mit Ihnen zu kommunizieren, damit Sie Informationen zu unseren Produkten, Leistungen, Updates und Upgrades (in bestimmten Fällen gegen Gebühr) erhalten.

IP-Adressen erheben wir zum Zwecke der Geolokation ausschließlich auf der Ebene von Postleitzahlen oder höheren Ebenen (z.B. Stadt, Landkreis oder Kontinent) und ausschließlich, um die GBE zu verbessern. Wir speichern keine IP-Adressen.

VI. Erfassung weiterer nicht personenbezogener Daten

Wenn Sie die Produkte Ghostery Browser Extension und Ghostery Insights herunterladen, erfassen sie fortlaufend folgende Daten: Webbrowser, Betriebssysteme und Opt-in-Einstellungen, um Tracker-Informationen mit dem Unternehmen zu teilen, wenn eine Installation, ein Upgrade oder eine Deinstallation stattfindet und ob die Erweiterung aktiv oder von Ihnen aktiviert wurde.

Die Verwendung der von uns erfassten nicht personenbezogenen Daten ist begrenzt auf: (i) Kommunikation über die CMP (siehe VIII.) – da wir weder Ihren Namen noch Ihre Email-Adresse kennen – um Produktinformationen oder Updates und Firmennachrichten weiterzugeben, (ii) für interne analytische Zwecke (z.B. Zählung der Downloads der Browser-Erweiterung) oder, (iii) um die Dienste des Ghostery Start Tab zu erbringen, einschliesslich der Übermittlung nicht personenbezogener Daten mit anderen Cliqz Produkten, die Sie lokal auf Ihrem Endgerät installiert haben, oder (iv) Befragung unserer Nutzer von Zeit zu Zeit.

Wenn bei der Verwendung von Ghostery Midnight Fehler innerhalb der Midnight-Anwendung während der Nutzung auftreten, oder wenn die Anwendung abstürzt oder andere Anwendungen zum Abbruch oder Absturz bringt, werden nicht personenbezogene Daten über den/die Fehler generiert. Sie helfen uns, die Fehlerursache zu ermitteln, damit wir sie in einem zukünftigen Update beheben können. Diese Fehlerberichte, auch bekannt als Crash-Protokolle („Protokolle“), enthalten Angaben wie den Status der Anwendung, des Betriebssystems und des Geräts zum Zeitpunkt des Absturzes, andere Anwendungsnamen und -daten (abhängig vom Abonnementtarif), Daten über Websites, die während der Laufzeit von Mitternacht besucht wurden (abhängig vom Abonnementtarif), sowie Fehlerinformationen.  Es werden keine personenbezogenen Daten erhoben, und nichts in diesen Protokollen kann zur persönlichen Identifizierung des Benutzers verwendet werden. Diese Protokolle werden lokal auf dem Gerät des Benutzers gesammelt und gespeichert und nach der Veröffentlichung von Midnights nicht automatisch an Ghostery gesendet.   Ghostery kann sich dafür entscheiden, diese Elemente in Zukunft zu sammeln.

VII. Consumer Messaging Platform (“CMP”)

Die CMP wird von uns von Zeit zu Zeit verwendet, um effektiv und allgemein mit unseren Nutzern unter Beachtung ihrer Datenschutzanforderungen zu kommunizieren. Die CMP wird automatisch aktiviert; Sie können Sie jedoch problemlos deaktivieren, indem Sie auf die GBE-Seite „Optionen“ gehen und den Anweisungen folgen. Wenn Sie die CMP abschalten, können Sie die GBE nach wie vor verwenden, Sie erhalten jedoch von uns keine allgemeinen Mitteilungen mehr.

VIII. Angebote

Über Angebote, die ebenfalls standardmäßig aktiviert sind, können Unternehmen Nutzern auf Basis eines von uns entwickelten Algorithmus, der anonym Vorlieben bestimmt und deshalb spezielle kommerzielle Angebote, die für Sie von Interesse sein könnten, auswählt, relevante Angebote zeigen. Diese Funktionalität ist nicht von erfassten personenbezogenen Daten abhängig.

IX. Human Web

Wir haben eine Technologie namens Human Web entwickelt, die standardmäßig aktiviert ist und anonyme Gruppenmodelle erstellt, welche die privaten Schnellsuche-, Antitracking- und Antiphishing-Technologien der Cliqz-Produkte steuern und bald auch in der GTP zur Verfügung stehen.

Datenerfassung: Für den Betrieb des Human Web erfassen wir automatisch nicht-private URLs, Suchanfragen mit Suchmaschinenergebnisseiten, verdächtige URLs, die Phishing-Seiten sein könnten, Informationen in Bezug auf sichere und unsichere Tracker und Informationen zur Prävalenz und Performance von Trackern.

Datenverwendung: Die Daten, die wir für Human Web erfassen, werden anonymisiert, zusammengefasst und über das Human Web Proxy Network übertragen und dienen dazu, die Such-, Antitracking und Antiphishing-Funktionen im Cliqz-Browser zu verbessern.

Weitere Informationen zum Human Web erhalten Sie unter https://cliqz.com/whycliqz/human-web.

X. VPN

Für die von uns bereitgestellten VPN-Technologien verwenden wir einen vertrauenswürdigen Drittanbieter-Proxy. Dieser Dienst wird von FoxyProxy LLC betrieben. Beachten Sie, dass FoxyProxy gesetzlich verpflichtet ist, KEINE personenbezogenen Daten zu erfassen – einschließlich expliziter oder impliziter Netzwerkidentifikatoren. Die Dienste von FoxyProxy koennen den Nachrichteninhalt nicht lesen (da er verschluesselt ist).  Mit Ausnahme der Bandbreitennutzung werden keine Daten protokolliert.  Diese Informationen werden gesammelt, um die Netzwerkleistung zu verwalten.  Wir sammeln oder speichern keine IP Adressinformationen.

XI. Datenverarbeitung im Ausland

Die Gesellschaft hat ihren Sitz zwar in Deutschland, operiert jedoch teilweise von Standorten, die sich in den USA befinden. Die personenbezogenen oder sonstigen Daten, die wir erfassen, haben ihren Ursprung in den USA. Wenn Sie die GTP von der Europäischen Union oder anderen Regionen aus nutzen, in denen Gesetze zur Erfassung und Verwendung von Daten gelten, die sich von den US-amerikanischen unterscheiden, sollten Sie daran denken, dass Sie unter Umständen der Erfassung oder Übertragung ihrer personenbezogenen Daten in den oder in die USA zustimmen. Wir haben jedoch eine starke Datenschutzrichtlinie umgesetzt, um ein angemessenes Niveau des Schutzes Ihrer personenbezogenen Daten (“persönliche Daten”) zu gewährleisten.

XII. Aufbewahrung bei uns gespeicherter Daten

Wenn Sie Ihren Account deaktivieren, halten wir ihre personenbezogenen Daten vor, wenn und solange eine gesetzliche Pflicht (z.B. zur Erfüllung gesetzlicher Aufbewahrungsfristen) oder eine gerichtliche Anordnung besteht. Wir werden diese Daten dann nur noch für diese Zwecke verwenden und nur für den gesetzlich vorgegebenen Zeitraum gespeichert halten. Danach werden sie ebenfalls gelöscht.

XIII. Datenübertragbarkeit und -löschung

Das Unternehmen stellt in Übereinstimmung mit der DSGVO Funktionen im Produktmenü bereit, die den Benutzern das einfache Herunterladen und Löschen der zu ihrem Konto gehörigen personenbezogenen Daten ermöglichen.  Wenn Benutzer ihre Daten herunterladen, geschieht dies in Form einer maschinenlesbaren CSV-Datei. Die Daten umfassen den Namen, die E-Mail-Adresse und die Kontoeinstellungen des Benutzers.  Wenn Benutzer ihr Konto löschen, werden sämtliche zu dem Konto gehörige personenbezogene Daten vollständig und dauerhaft von den Servern des Unternehmens gelöscht.

XIV. Sicherheit

Die Gesellschaft hat angemessene und geeignete technische, physische und administrative Maßnahmen für ein Unternehmen unserer Größe und Komplexität zum Schutz der erfassten Daten ergriffen. Diese Sicherheitsmaßnahmen beinhalten unter anderem das sofortige Verschlüsseln der ursprünglichen IP-Adressen mittels sehr starker Verschlüsselungstechnologien, um den Schutz Ihrer Daten sicherzustellen.. Dadurch werden die ursprüngliche IP-Adresse und die User Agent Information zerstört. Um Ihre Datensicherheit weiter zu erhöhen, sammelt die GTP außerdem in Bezug auf eine URL nichts weiter als den Query-String Pfad.

XV. Kontaktaufnahme mit der Gesellschaft

Sie haben jederzeit das Recht, der weiteren Nutzung Ihrer personenbezogenen Daten für die Zukunft zu widersprechen und können sich hierfür an die Gesellschaft über die am Anfang der Datenschutzerklärung angegebene postalische Adresse oder per E-Mail an privacy@ghostery.com wenden. Dazu müssen Sie einen gültigen Nachweis erbringen, dass es sich um Ihren Account handelt. Die Gesellschaft behält sich vor, Ihre Anfrage elektronisch zu beantworten. Wenden Sie sich in diesem Fall und auch bei sämtlichen sonstigen Nachfragen, Kommentaren oder Bedenken bezüglich unserer Datenschutzpraktiken per Email an privacy@ghostery.com.

XVI. Änderungen der Datenschutzerklärung

Wir nehmen gelegentlich Änderungen dieser Datenschutzleitlinie vor; in diesem Fall ändern wir auch das “Datum des Inkrafttretens” in der Kopfzeile der Datenschutzerklärung. Sollten wir wesentliche Änderungen an unserer Datenschutzerklärung vornehmen, versuchen wir Sie über die CMP zu informieren und, wenn Sie einen Account bei uns besitzen und uns Ihre Email-Adresse gegeben haben, werden wir auch versuchen, sie über die Email-Adresse bezüglich dieser wesentlichen Änderungen zu kontaktieren. Letztendlich liegt es jedoch in Ihrer Verantwortung, diese Datenschutzerklärung regelmäßig zu überprüfen, um über unsere Datenverarbeitung und deren Änderungen auf dem Laufenden zu bleiben. Eine weitere Nutzung der GBE stellt Ihre Zustimmung zu dieser Datenschutzerklärung und deren Änderungen dar.

XVII. Abonnements & Zahlungen

Wir bieten verschiedene Funktionalitäten der GTP im Abonnement-Modell gegen die Zahlung eines Entgelts an. Sie können sich aus mehreren Funktionen und mehreren Zahlungsintervallen Ihr bevorzugtes Modell individuell zusammenstellen.

Um die Zahlungen abwickeln zu können, nutzen wir den Zahlungsdienstleister Stripe. Wenn Sie unsere Abonnementgebühren über diesen Service bezahlen, müssen Sie einige persönliche Daten eingeben (Name, Adresse, Kontaktdaten, GPP-Logindaten, Finanzdaten). Stripe fungiert als Datenverantwortlicher und nicht in unserem Namen als Datenverarbeiter. Wir ziehen einige dieser Informationen in unser Produkt ein, damit Sie Ihr Abonnement leichter überprüfen können, tun dies jedoch über die Stripe-API und speichern keine dieser Angaben selbst. Weitere Informationen entnehmen Sie der Stripes-Datenschutzerklärung: https://stripe.com/de/privacy.

Um die entsprechende regionale Mehrwertsteuer/GST/Verkaufssteuer für jede Zahlung zu berechnen, verwenden wir den Service Avalara. Zur Berechnung der anfallenden Steuern benötigt Avalara einige persönliche Daten (Land, Postleitzahl). Dies ist die einzige Information, die Avalara erhält. Basierend auf der Postleitzahl bestimmt Avalara, wie viel Steuern berechnet und über Stripe erfasst werden sollen.

Auf Basis dieser Daten errechnet Avalara den anzuwendenden Steuersatz und gibt diese Information an Stripe zurück, die diesen Steuersatz dann direkt bei der Zahlung berücksichtigt. Stripe berechnet den entsprechenden Betrag, einschließlich Steuern, und Avalara erfasst den Betrag der erhobenen Steuern und in welcher Region, sodass wir diese an die regionale Behörde melden können. Weitere Informationen zur Datenschutzerklärung von Avalara finden Sie unter: https://www.avalara.com/us/en/legal/privacy-policy.html.