Datenschutzhinweise der myEGO App

Diese App erhebt personenbezogene Daten von ihren Nutzern. Zweck der App ist die Verifzierung von personenbezogenen Daten aus Dokumenten (wie Führerschein, Personalausweis, Kreditkarte, usw.) und die Verfügbarkeit des Verifikationsergebnisses für einen Dritten über die myEGO Plattform.

Datenschutzhinweise der myEGO App

Zusammenfassung der Datenschutzhinweise

Personenbezogene Daten, die zu folgenden Zwecken und unter Verwendung folgender Dienste erhoben werden:

Profildaten

Diese App verarbeitet den Nicknamen des Nutzers.

Authentifizierungsdaten

Um sich an der App zu authentifizieren (anzumelden), verwendet die App MFA (multifactor authentification). Letztendlich verwendet die Authentifizierung/der Zugriff auf die Anwendung die nativen Geräte-MFA-Optionen (Fingerabdruck, faceId, Passcode usw.). Die Speicherung dieser MFA-Optionen erfolgt jedoch nicht durch die App, sondern hierbei werden die betriebssystemeigenen Funktionen genutzt. Sobald die App nicht mehr aktiv ist, werden die betriebssystemeigenen Authentifizierungsmechanismen eingesetzt, um auf die verschlüsselten Nutzerdaten zugreifen zu können. Apple als auch Google lassen diesen Zugriff nur über deren interne Lösungen zu. (Ultimativ wird der PIN-Code des Mobilenendgerätes benötigt, da die biometrischen Methodiken diesen als Fallback installiert haben.

Kamera-Zugriff

Zum Zweck des Einlesens von Dokumenten wird der Zugriff auf die Kamera des Gerätes benötigt. 

Dokumentendaten

Zur Erfüllung des wesentlichen Zwecks dieser App ist die Verarbeitung von Dokumentendaten notwendig. Hierzu zählen der Personalausweis, der Führerschein, Kreditkarten, sowie Festnetz- und Mobilfunknummern und E-Mail-Adressen.
Sofern die o.g. Dokumente mit der App verarbeitet werden, werden alle dort enthaltenen Informationen in der App verarbeitet.

Vollständige Datenschutzerklärung

Anbieter und Verantwortlicher

THE EGO COMPANY GMBH

Pappelallee 78/79

10437 Berlin

E-Mail-Adresse des Anbieters: hi@myego2go.de

E-Mailadresse des Datenschutzbeauftragten: datenschutz@myego2go.de

Welche Daten werden verarbeitet? Und zu welchem Zweck?

  • Profildaten

Bei der Verwendung der App kann der Nutzer folgende Daten in der App erfassen: Nickname. Dies dient der persönlichen Ansprache und bleibt optional.

Die Speicherdauer in der App richtet sich nach dem Installationszeitraum. Wird die App deinstalliert, werden auch die Daten auf dem Handy gelöscht. Die Daten werden jedoch verschlüsselt als Backup auf der myEGO2GO Platform gesichert und können nur durch die Verwendung des Private Key des Nutzers wiederhergestellt werden. Falls dieser nicht mehr vorhanden ist, sind die Daten nicht mehr lesbar. Die Daten, die Nutzer mit Partnern geteilt haben, liegt in der Verantwortung und den Datenschutzbestimmungen des jeweiligen Partners. Dei ausbleibender Anmeldung können diese nach einem bestimmten Zeitraum gelöscht werden, wenn vom Nutzer keine Reaktion zu verzeichnen ist.

  • Authentifizierungsdaten

Um sich an der App zu authentifizieren (anzumelden), wird die biometrische Authentifzierung (Fingerabdruck, Gesichtsscan – je nach Modell unterschiedlicht) des Benutzers zur Freischaltung benötigt. Die Speicherung erfolgt jedoch nicht durch die App, sondern hierbei werden die betriebssystemeigenen Funktionen genutzt.

 

·       Kamera-Zugriff

Zum Zweck des Erfassens von Selfie und Fotos (nach Liveness-Prüfung) wird der Zugriff auf die Kamera des Gerätes benötigt.

Die Fotos werden zur Prüfung an mehrere externe Dienstleister wie AriadNEXT, FullyVerified, GoogleCloudVision übertragen und verbleiben dort bis zum Ende des Prüfvorgangs. Abhängig vom Dienstleister werden die Fotos entweder maschinell verarbeitet oder durch menschliche Interaktion – wobei hier nicht nur Fotografien zum Einsatz kommen können. Auch Videostreams und einzelne Bilder des Streams dienen dem Zwecke der Prüfung. Die Drittanbieter sind zum Zeitpunkt des Verfassens dieses Artikels angegeben, und diese Liste ist möglicherweise nicht erschöpfend.

  • Dokumentendaten

Zur Erfüllung des wesentlichen Zwecks dieser App ist die Verarbeitung von Dokumentendaten notwendig. Hierzu zählen der Personalausweis, der Führerschein, Kreditkarten, sowie Festnetz- und Mobilfunknummern und E-Mail-Adressen.
Sofern die o.g. Dokumente mit der App verarbeitet werden, werden alle dort enthaltenen Informationen in der App verarbeitet. Diese Liste erhebt keinen Anspruch auf Vollständigkeit. Beachten Sie auch, dass andere Daten innerhalb der myEGO-App verfügbar sein können, wie z.B. Finanzanalysen (Kreditwürdigkeit) oder Gesundheitsdaten. Diese Liste ist zum Zeitpunkt des Verfassens dieses Artikels erstellt worden und daher möglicherweise nicht erschöpfend.

Die Daten werden durch eine Bildanalyse automatisch ausgelesen, oder können vom Benutzer selbst erfasst werden. Nach Erfassung der Dokumente werden diese verifiziert.

Sofern nicht anders angegeben, ist die Angabe aller durch diese App angeforderten Daten obligatorisch bzw. wird automatisch vorgenommen. Es gibt jedoch keinen Zwang bestimmte Dokumenteninformationen zu erfassen. Dies basiert auf Basis einer Freiwilligkeit.

  • Systemprotokolle und Wartung

Diese Anwendung und die Dienste von Drittanbietern können zu Betriebs- und Wartungszwecken Dateien sammeln, die die über diese Anwendung stattfindende Interaktion aufzeichnen (Systemprotokolle), oder andere personenbezogene Daten (z. B. IP-Adresse) zu diesem Zweck verwenden.

Art und Ort der Datenverarbeitung

Verarbeitungsmethoden

Der Anbieter verarbeitet die Nutzerdaten auf ordnungsgemäße Weise und ergreift angemessene Sicherheitsmaßnahmen, um den unbefugten Zugriff und die unbefugte Weiterleitung, Veränderung oder Vernichtung von Daten zu vermeiden.
Die Datenverarbeitung wird mittels Computern oder IT-basierten Systemen nach organisatorischen Verfahren und Verfahrensweisen durchgeführt, die gezielt auf die angegebenen Zwecke abstellen. Zusätzlich zum Verantwortlichen könnten auch andere Personen intern (Personalverwaltung, Vertrieb, Marketing, Rechtsabteilung, Support, Softwareentwicklung, Systemadministration) oder extern auf Daten zugreifen. Externe Parteien sind in diesem Fall Auftragsverarbeiter (wie z.B. Anbieter technischer Dienstleistungen, Hosting-Anbieter, IT-Unternehmen oder Kommunikationsagenturen). Eine aktuelle Liste dieser Beteiligten kann jederzeit vom Anbieter verlangt werden.

Rechtsgrundlagen der Verarbeitung

Die oben angegebenen personenbezogenen Daten werden auf Basis (Art. 6 Abs. 1 lit. b) DSGVO zur Erfüllung von Verträgen verarbeitet.

Ort der Verarbeitung

Die Daten werden in den Rechenzentren des Anbieters bzw. seinen Auftragsverarbeitern verarbeitet. Diese befinden sich ausschließlich in Deutschland.

Je nach Standort der Nutzer können Datenübertragungen die Übertragung der Daten des Nutzers in ein anderes Land als das eigene beinhalten.

Um mehr über den Ort der Verarbeitung der übermittelten Daten zu erfahren, können die Nutzer den Abschnitt mit den ausführlichen Angaben zur Verarbeitung der personenbezogenen Daten konsultieren.

Speicherdauer der Daten

Personenbezogene Daten werden wie oben beschrieben so lange verarbeitet und gespeichert, wie es der Zweck erfordert, zu dem sie erhoben wurden.

Daher gilt:

  • Personenbezogene Daten, die zu Zwecken der Erfüllung eines zwischen dem Anbieter und dem Nutzer geschlossenen Vertrages erhoben werden, werden bis zur vollständigen Erfüllung dieses Vertrages gespeichert.
  • Darüber hinaus kann der Anbieter verpflichtet sein, personenbezogene Daten für einen längeren Zeitraum aufzubewahren, wenn dies zur Erfüllung einer gesetzlichen Verpflichtung oder auf Anordnung einer Behörde erforderlich ist.
  • Nach Ablauf der Aufbewahrungsfrist werden personenbezogene Daten gelöscht. Daher können das Auskunftsrecht, das Recht auf Löschung, das Recht auf Berichtigung und das Recht auf Datenübertragbarkeit nach Ablauf der Aufbewahrungsfrist nicht geltend gemacht werden.

Verschlüsselung:

Alle Daten (persönliche Daten) werden synchron im Gerät mit AES-256-Verschlüsselung bei 100.000 Iterationen verschlüsselt. Der AES-Schlüssel wird dann selbst asynkron (RSA-4096 Schlüsselpaar) mit dem öffentlichen Schlüssel des Benutzers oder Partners (je nachdem, ob es sich um einen Vertrag oder ein Dokument handelt) verschlüsselt. MyEGO kann nicht auf die Verschlüsselungs-Zugangsdaten von Benutzern oder Partnern zugreifen und diese nicht speichern.

Speichern:

Sowohl Dokumente als auch Verträge werden sowohl lokal auf dem Gerät des Nutzers als auch innerhalb des von myEGO zur Verfügung gestellten Cloud Storage gespeichert. Der einzige Unterschied besteht darin, dass auf Verträge von beiden Partnern zugegriffen werden kann (wenn ein Partner spezifische Rechte an diesem Vertrag hat) – d.h. Partei des Vertrages ist und Nutzer (wenn sie Partei des Vertrages sind).

Verbindungen:

Nutzer, die sich mit teilnehmenden myEGO-Partnern verbinden, müssen die gemeinsame Nutzung jeglicher persönlicher Daten in Form von Dokumenten, aus Dokumenten abgeleiteten Daten oder Analysedaten (d.h. Finanz-, Gesundheitsdaten usw.) oder anderer solcher Daten bestätigen. Diese Daten werden dem anfragenden Partner nur nach ausdrücklicher Bestätigung durch den Nutzer zur Verfügung gestellt. Zu keinem Zeitpunkt hat myEGO Einblick oder die Möglichkeit, Einblick in solche Daten zu haben. Die Verbindung zwischen einem Partner und einem Nutzer ist myEGO nur in dem Umfang bekannt, in dem sie besteht.

Account-Löschung

Im Falle einer Kontolöschung werden alle mit einem Nutzer verbundenen Dokumente sowohl lokal auf dem Gerät als auch vom myEGO Cloud Storage gelöscht. Dies ist der gleiche Prozess und das gleiche Ergebnis wie bei den Profildaten. Die Verträge bleiben bis zu ihrem Ablaufdatum intakt.

Inaktives Konto oder fehlgeschlagenes Off-Boarding:

Gemäß dem geltenden Recht des jeweiligen Landes, in dem der Nutzer ansässig ist, werden die Daten gemäß den festgelegten gesetzlichen Fristen gelöscht. myEGO wird die Anmeldungen der Nutzer verfolgen, um inaktive Nutzer zu ermitteln.

Die Rechte der Nutzer

Die Nutzer haben das Recht auf Auskunft über die sie betreffenden personenbezogenen Daten. Die Nutzer können sich für eine Auskunft jederzeit an den Anbieter wenden.
Bei einer Auskunftsanfrage, die nicht schriftlich erfolgt, bittet der Anbieter um Verständnis dafür, dass er ggf. Nachweise verlangen wird, die belegen, dass der Anfragende die Person ist, für die er sich ausgibt.
Ferner besteht ein Recht auf Berichtigung oder Löschung oder auf Einschränkung der Verarbeitung, soweit dem Nutzer dieses gesetzlich zusteht.
Schließlich hat er ein Widerspruchsrecht gegen die Verarbeitung im Rahmen der gesetzlichen Vorgaben. Gleiches gilt für ein Recht auf Datenübertragbarkeit.

Wie die Rechte ausgeübt werden können?

Alle Anfragen zur Ausübung der Nutzerrechte können über die angegebenen Kontaktdaten an den Anbieter gerichtet werden.

Beschwerderecht bei einer Aufsichtsbehörde

Der Nutzer hat das Recht, sich über die Verarbeitung personenbezogenen Daten durch den Anbieter bei einer Aufsichtsbehörde für den Datenschutz zu beschweren.

Änderung dieser Datenschutzhinweise

Der Anbieter überarbeitet diese Datenschutzhinweise bei Änderungen an der App oder bei sonstigen Anlässen, die dies erforderlich machen. Die jeweils aktuelle Fassung findet der Nutzer stets auf dieser Internetseite.

Letzte Aktualisierung: 15.07.2020