Diese App erhebt personenbezogene Daten von ihren Nutzern. Zweck der App ist die Verifzierung von personenbezogenen Daten aus Dokumenten (wie Führerschein, Personalausweis, Kreditkarte, usw.) und die Verfügbarkeit des Verifikationsergebnisses für einen Dritten über die myEGO Plattform.
Datenschutzhinweise der myEGO App
Zusammenfassung der Datenschutzhinweise
Personenbezogene Daten, die zu folgenden Zwecken und unter Verwendung folgender Dienste erhoben werden:
Profildaten
Diese App verarbeitet den Nicknamen des Nutzers.
Authentifizierungsdaten
Um sich an der App zu authentifizieren (anzumelden), verwendet die App MFA (multifactor authentification). Letztendlich verwendet die Authentifizierung/der Zugriff auf die Anwendung die nativen Geräte-MFA-Optionen (Fingerabdruck, faceId, Passcode usw.). Die Speicherung dieser MFA-Optionen erfolgt jedoch nicht durch die App, sondern hierbei werden die betriebssystemeigenen Funktionen genutzt. Sobald die App nicht mehr aktiv ist, werden die betriebssystemeigenen Authentifizierungsmechanismen eingesetzt, um auf die verschlüsselten Nutzerdaten zugreifen zu können. Apple als auch Google lassen diesen Zugriff nur über deren interne Lösungen zu. (Ultimativ wird der PIN-Code des Mobilenendgerätes benötigt, da die biometrischen Methodiken diesen als Fallback installiert haben.
Kamera-Zugriff
Zum Zweck des Einlesens von Dokumenten wird der Zugriff auf die Kamera des Gerätes benötigt.
Dokumentendaten
Zur Erfüllung des wesentlichen Zwecks
dieser App ist die Verarbeitung von Dokumentendaten notwendig. Hierzu zählen
der Personalausweis, der Führerschein, Kreditkarten, sowie Festnetz- und
Mobilfunknummern und E-Mail-Adressen.
Sofern die o.g. Dokumente mit der App verarbeitet werden, werden alle dort
enthaltenen Informationen in der App verarbeitet.
Vollständige Datenschutzerklärung
Anbieter und Verantwortlicher
THE EGO COMPANY GMBH
Pappelallee 78/79
10437 Berlin
E-Mail-Adresse des Anbieters: hi@myego2go.de
E-Mailadresse des Datenschutzbeauftragten: datenschutz@myego2go.de
Welche Daten werden verarbeitet? Und zu welchem Zweck?
- Profildaten
Bei der Verwendung der App kann der Nutzer folgende Daten in der App erfassen: Nickname. Dies dient der persönlichen Ansprache und bleibt optional.
Die Speicherdauer in der App richtet sich nach dem Installationszeitraum. Wird die App deinstalliert, werden auch die Daten auf dem Handy gelöscht. Die Daten werden jedoch verschlüsselt als Backup auf der myEGO2GO Platform gesichert und können nur durch die Verwendung des Private Key des Nutzers wiederhergestellt werden. Falls dieser nicht mehr vorhanden ist, sind die Daten nicht mehr lesbar. Die Daten, die Nutzer mit Partnern geteilt haben, liegt in der Verantwortung und den Datenschutzbestimmungen des jeweiligen Partners. Dei ausbleibender Anmeldung können diese nach einem bestimmten Zeitraum gelöscht werden, wenn vom Nutzer keine Reaktion zu verzeichnen ist.
- Authentifizierungsdaten
Um sich an der App zu authentifizieren (anzumelden), wird die biometrische Authentifzierung (Fingerabdruck, Gesichtsscan – je nach Modell unterschiedlicht) des Benutzers zur Freischaltung benötigt. Die Speicherung erfolgt jedoch nicht durch die App, sondern hierbei werden die betriebssystemeigenen Funktionen genutzt.
· Kamera-Zugriff
Zum Zweck des Erfassens von Selfie und Fotos (nach Liveness-Prüfung) wird der Zugriff auf die Kamera des Gerätes benötigt.
Die Fotos werden zur Prüfung an mehrere externe Dienstleister wie AriadNEXT, FullyVerified, GoogleCloudVision übertragen und verbleiben dort bis zum Ende des Prüfvorgangs. Abhängig vom Dienstleister werden die Fotos entweder maschinell verarbeitet oder durch menschliche Interaktion – wobei hier nicht nur Fotografien zum Einsatz kommen können. Auch Videostreams und einzelne Bilder des Streams dienen dem Zwecke der Prüfung. Die Drittanbieter sind zum Zeitpunkt des Verfassens dieses Artikels angegeben, und diese Liste ist möglicherweise nicht erschöpfend.
- Dokumentendaten
Zur Erfüllung des
wesentlichen Zwecks dieser App ist die Verarbeitung von Dokumentendaten
notwendig. Hierzu zählen der Personalausweis, der Führerschein, Kreditkarten,
sowie Festnetz- und Mobilfunknummern und E-Mail-Adressen.
Sofern die o.g. Dokumente mit der App verarbeitet werden, werden alle dort
enthaltenen Informationen in der App verarbeitet. Diese Liste erhebt keinen
Anspruch auf Vollständigkeit. Beachten Sie auch, dass andere Daten innerhalb
der myEGO-App verfügbar sein können, wie z.B. Finanzanalysen (Kreditwürdigkeit)
oder Gesundheitsdaten. Diese Liste ist zum Zeitpunkt des Verfassens dieses
Artikels erstellt worden und daher möglicherweise nicht erschöpfend.
Die Daten werden durch eine Bildanalyse automatisch ausgelesen, oder können vom Benutzer selbst erfasst werden. Nach Erfassung der Dokumente werden diese verifiziert.
Sofern nicht anders angegeben, ist die Angabe aller durch diese App angeforderten Daten obligatorisch bzw. wird automatisch vorgenommen. Es gibt jedoch keinen Zwang bestimmte Dokumenteninformationen zu erfassen. Dies basiert auf Basis einer Freiwilligkeit.
- Systemprotokolle und Wartung
Diese Anwendung und die Dienste von Drittanbietern können zu Betriebs- und Wartungszwecken Dateien sammeln, die die über diese Anwendung stattfindende Interaktion aufzeichnen (Systemprotokolle), oder andere personenbezogene Daten (z. B. IP-Adresse) zu diesem Zweck verwenden.
Art und Ort der Datenverarbeitung
Verarbeitungsmethoden
Der Anbieter verarbeitet die Nutzerdaten auf ordnungsgemäße Weise und
ergreift angemessene Sicherheitsmaßnahmen, um den unbefugten Zugriff und die
unbefugte Weiterleitung, Veränderung oder Vernichtung von Daten zu vermeiden.
Die Datenverarbeitung wird mittels Computern oder IT-basierten Systemen nach
organisatorischen Verfahren und Verfahrensweisen durchgeführt, die gezielt auf
die angegebenen Zwecke abstellen. Zusätzlich zum Verantwortlichen könnten auch
andere Personen intern (Personalverwaltung, Vertrieb, Marketing,
Rechtsabteilung, Support, Softwareentwicklung, Systemadministration) oder
extern auf Daten zugreifen. Externe Parteien sind in diesem Fall
Auftragsverarbeiter (wie z.B. Anbieter technischer Dienstleistungen,
Hosting-Anbieter, IT-Unternehmen oder Kommunikationsagenturen). Eine aktuelle
Liste dieser Beteiligten kann jederzeit vom Anbieter verlangt werden.
Rechtsgrundlagen der Verarbeitung
Die oben angegebenen personenbezogenen Daten werden auf Basis (Art. 6 Abs. 1 lit. b) DSGVO zur Erfüllung von Verträgen verarbeitet.
Ort der Verarbeitung
Die Daten werden in den Rechenzentren des Anbieters bzw. seinen Auftragsverarbeitern verarbeitet. Diese befinden sich ausschließlich in Deutschland.
Je nach Standort der Nutzer können Datenübertragungen die Übertragung der Daten des Nutzers in ein anderes Land als das eigene beinhalten.
Um mehr über den Ort der Verarbeitung der übermittelten Daten zu erfahren, können die Nutzer den Abschnitt mit den ausführlichen Angaben zur Verarbeitung der personenbezogenen Daten konsultieren.
Speicherdauer der Daten
Personenbezogene Daten werden wie oben beschrieben so lange verarbeitet und gespeichert, wie es der Zweck erfordert, zu dem sie erhoben wurden.
Daher gilt:
- Personenbezogene Daten, die zu Zwecken der Erfüllung eines zwischen dem Anbieter und dem Nutzer geschlossenen Vertrages erhoben werden, werden bis zur vollständigen Erfüllung dieses Vertrages gespeichert.
- Darüber hinaus kann der Anbieter verpflichtet sein, personenbezogene Daten für einen längeren Zeitraum aufzubewahren, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung oder auf Anordnung einer Behörde erforderlich ist.
- Nach Ablauf der Aufbewahrungsfrist werden personenbezogene Daten gelöscht. Daher können das Auskunftsrecht, das Recht auf Löschung, das Recht auf Berichtigung und das Recht auf Datenübertragbarkeit nach Ablauf der Aufbewahrungsfrist nicht geltend gemacht werden.
Verschlüsselung:
Alle Daten (persönliche Daten) werden synchron im Gerät mit AES-256-Verschlüsselung bei 100.000 Iterationen verschlüsselt. Der AES-Schlüssel wird dann selbst asynkron (RSA-4096 Schlüsselpaar) mit dem öffentlichen Schlüssel des Benutzers oder Partners (je nachdem, ob es sich um einen Vertrag oder ein Dokument handelt) verschlüsselt. MyEGO kann nicht auf die Verschlüsselungs-Zugangsdaten von Benutzern oder Partnern zugreifen und diese nicht speichern.
Speichern:
Sowohl Dokumente als auch Verträge werden sowohl lokal auf dem Gerät des Nutzers als auch innerhalb des von myEGO zur Verfügung gestellten Cloud Storage gespeichert. Der einzige Unterschied besteht darin, dass auf Verträge von beiden Partnern zugegriffen werden kann (wenn ein Partner spezifische Rechte an diesem Vertrag hat) – d.h. Partei des Vertrages ist und Nutzer (wenn sie Partei des Vertrages sind).
Verbindungen:
Nutzer, die sich mit teilnehmenden myEGO-Partnern verbinden, müssen die gemeinsame Nutzung jeglicher persönlicher Daten in Form von Dokumenten, aus Dokumenten abgeleiteten Daten oder Analysedaten (d.h. Finanz-, Gesundheitsdaten usw.) oder anderer solcher Daten bestätigen. Diese Daten werden dem anfragenden Partner nur nach ausdrücklicher Bestätigung durch den Nutzer zur Verfügung gestellt. Zu keinem Zeitpunkt hat myEGO Einblick oder die Möglichkeit, Einblick in solche Daten zu haben. Die Verbindung zwischen einem Partner und einem Nutzer ist myEGO nur in dem Umfang bekannt, in dem sie besteht.
Account-Löschung
Im Falle einer Kontolöschung werden alle mit einem Nutzer verbundenen Dokumente sowohl lokal auf dem Gerät als auch vom myEGO Cloud Storage gelöscht. Dies ist der gleiche Prozess und das gleiche Ergebnis wie bei den Profildaten. Die Verträge bleiben bis zu ihrem Ablaufdatum intakt.
Inaktives Konto oder fehlgeschlagenes Off-Boarding:
Gemäß dem geltenden Recht des jeweiligen Landes, in dem der Nutzer ansässig ist, werden die Daten gemäß den festgelegten gesetzlichen Fristen gelöscht. myEGO wird die Anmeldungen der Nutzer verfolgen, um inaktive Nutzer zu ermitteln.
Die Rechte der Nutzer
Die Nutzer haben das
Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Die
Nutzer können sich für eine Auskunft jederzeit an den Anbieter wenden.
Bei einer Auskunftsanfrage, die nicht
schriftlich erfolgt, bittet der Anbieter um Verständnis dafür, dass er ggf.
Nachweise verlangen wird, die belegen, dass der Anfragende die Person ist, für
die er sich ausgibt.
Ferner besteht ein Recht auf Berichtigung oder
Löschung oder auf Einschränkung der Verarbeitung, soweit dem Nutzer dieses
gesetzlich zusteht.
Schließlich hat er ein Widerspruchsrecht gegen
die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein
Recht auf Datenübertragbarkeit.
Wie die Rechte ausgeübt werden können?
Alle Anfragen zur Ausübung der Nutzerrechte können über die angegebenen Kontaktdaten an den Anbieter gerichtet werden.
Beschwerderecht bei einer Aufsichtsbehörde
Der Nutzer hat das Recht, sich über die Verarbeitung personenbezogenen Daten durch den Anbieter bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.
Änderung dieser Datenschutzhinweise
Der Anbieter überarbeitet diese Datenschutzhinweise bei Änderungen an der App oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung findet der Nutzer stets auf dieser Internetseite.
Letzte Aktualisierung: 15.07.2020