Rechtliche Hinweise der Kaufhaus Steffl Betriebs AG
D A T E N S C H U T Z I N F O R M A T I O N
“STEFFL THE CLUB”
Kaufhaus STEFFL Betriebs AG
1) Verarbeitungstätigkeit Kundenbindungsprogramm „STEFFL THE CLUB“
2) Verantwortlicher Kaufhaus STEFFL Betriebs AG („STEFFL“)
Sitz: Kärntner Straße 19
A-1010 Wien
Tel: +43-1-93056-0
E-Mail: theclub@steffl-vienna.at
3) Kontaktdaten des Datenschutzbeauftragten
Kaufhaus STEFFL Betriebs AG („STEFFL“)
c/o Datenschutzbeauftragter
Kärntnerstraße, 19 A-1010 Wien
E-Mail: datenschutz@steffl-vienna.at
4) Zugriff auf Daten und Aktualisierung
Digitaler Log-In (Website, App) über den vom Kunden festgelegten Benutzernamen und Passwort.
Das Passwort kann von STEFFL nicht eingesehen werden.
5) Zwecke der Datenverarbeitung
• auf der Rechtsgrundlage der Vertragserfüllung oder -vorbereitung
a) Betrieb des Kundenbindungsprogramm „STEFFL THE CLUB“
b) Erstellung und Verwaltung des Kundenkontos (auch durch Einbindung in und Verknüpfung mit Kassensystem)
c) Erhöhung der Kundenzufriedenheit und der Kundenloyalität
d) Erhöhung der Kundenbindung durch Veranstaltung von Gewinnspielen, Events und Kundenbefragungen; Einräumung von Teilnahmemöglichkeiten sowie Erfüllung von Verpflichtungen gegenüber den Teilnehmern
e) Bereitstellung von Kommunikationskanälen zu STEFFL zur Servicierung des Vertrags- und Mitgliedschaftsverhältnisses (Versand von Textnachrichten, Newsletter, E-Mails, Push Nachrichten, Telefon)
• auf der Rechtsgrundlage der (überwiegenden) berechtigten Interessen von STEFFL: Direktwerbung
f) Rückgewinnung sowie Neugewinnung von Kunden
g) Verbreitung/Ausspielung von Werbung für (weitere) Waren und Dienstleistungen von STEFFL und konzernverbundenen Unternehmen* im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig *Auflistung unter Punkt 15)
h) Auswertung des Einkaufsverhaltens und der persönlichen Vorlieben der Kunden zur zielgerichteten Verbreitung von Werbung mit dem Ziel der Vermeidung von Streuverlusten (unter Einsatz von Profiling, siehe Punkt 10.)
6) Zweckänderungen (Weiterleitung)
Direktwerbung: STEFFL informiert, dass personenbezogene Daten von Kunden auch zu Zwecken der Direktwerbung (inkl. Profiling) verarbeitet werden. Mit der Direktwerbung möchte STEFFL den Vertrieb der beworbenen (eigenen oder fremden) Produkte fördern. Zu diesem Zweck werden diese Daten keinem (nicht konzernverbundenen) Dritten überlassen. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung.
7) Widerspruch gegen die Verarbeitung zu Zwecken der Direktwerbung: Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zur Direktwerbung (inklusive „Profiling“) jederzeit und ohne Angabe von Gründen beim Verantwortlichen Widerspruch einlegen. Der Widerspruch bewirkt, dass STEFFL die personenbezogenen Daten des Kunden zukünftig nicht mehr zu diesen Zwecken verarbeitet.
8) Rechtsgrundlage der Datenverarbeitung
1) Teilnahme am Club, an Marketingmaßnahmen, Gewinnspielen: Vertragserfüllung oder -vorbereitung
2) Direktwerbung (inkl. Profiling): überwiegende berechtigte Interessen von STEFFL (siehe Punkt 9.)
9) Beschreibung der (überwiegenden) berechtigten Interessen zu Zwecken der Direktwerbung:
STEFFL verarbeitet Kundendaten (nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO („sensible Daten“)) auch, um diese zu Zwecken der Direktwerbung für (weitere) Produkte von STEFFL zu nutzen (siehe dazu auch Punkt 6.). STEFFL hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Festgehalten wird, dass der Kunde eine Kontaktaufnahme in seinen Profileinstellungen jederzeit aktivieren/deaktivieren kann. Die Teilnahme am Club und die damit verbundene Möglichkeiten zur Speicherung des Umsatzes zum Erhalt von Rabatten erfolgt, um Kunden für entgeltliche Produkte zu gewinnen und werden zu diesem Zweck diese personenbezogenen Daten zur Bewerbung verwendet. Verarbeitet werden dabei ausschließlich jene Kundendaten, über die STEFFL aus dem Vertragsverhältnis verfügt und für die noch die Speicherfrist läuft. Eine Verlängerung der Speicherfrist erfolgt dadurch nicht. Vorrangiges Ziel der Datenverarbeitung ist die Kundengewinnung und Kundenbindung mit dem Ziel, damit wieder in ein (vor-)vertragliches Vertragsverhältnis zu gelangen. Dabei stützt sich STEFFL auf seine konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit (Art. 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechte
• zur Übermittlung von postalischer Werbung;
• zur Vornahme von Werbeanrufen nach Einwilligung;
• zur Übermittlung von elektronischer Post nach Einwilligung;
• zur Übermittlung von elektronischer Post gemäß § 107 Abs 3 TKG;
Bei der Nutzung dieser Daten hält STEFFL die kommunikationsrechtlichen Vorgaben, insbesondere § 107 TKG, ein.
• der Datenverarbeitung im Konzern:
STEFFL ist Teil einer Unternehmensgruppe. Zur Erfüllung seiner umfangreichen Verpflichtungen bedient sich STEFFL in arbeitsteiliger Weise auch konzernverbundenen Unternehmen. Daran hat STEFFL ein überwiegendes berechtigtes Interesse (Erwägungsgrund 48 der DSGVO). Personenbezogene Daten erhalten innerhalb der Unternehmensgruppe nur Stellen, die diese Daten zur Erfüllung der vertraglichen, gesetzlichen Pflichten sowie Wahrung berechtigter Interessen benötigen. Diese Stellen sind vertraglich zur Einhaltung sämtlicher datenschutzrechtlicher Vorgaben verpflichtet.
10) Bewertungen von persönlichen Aspekten des Kunden („Profiling“)
Art: Bewertung von persönlichen Interessen
Beschreibung: Zum Zweck einer optimalen Kundenbetreuung sowie zur Vermeidung von Streuverlusten (und der Minimierung von Datenverarbeitungen) im Direktmarketing speichert STEFFL das Kaufverhalten (Bestellungen, Beschwerden), wie zum Beispiel, Reaktionen auf bestimmte Angebote, und schließt daraus auf bestimmte persönliche Interessen. Diese bewerteten Interessen verwendet STEFFL, um für den Kunden zielgerichtet, interessensspezifische Maßnahmen zu setzen und Angebote und Werbung zu unterbreiten. Insb. um Werbung zur Kundenbindung zu übermitteln, um so Streuverluste bei der Werbung zu vermeiden.
11) Widerspruch gegen das „Profiling“:
Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zu Zwecken des Profiling jederzeit und ohne Angabe von Gründen Widerspruch beim Verantwortlichen einlegen. Der Widerspruch bewirkt, dass STEFFL die personenbezogenen Daten des Kunden zukünftig nicht mehr zu Zwecken des Profiling verarbeitet.
12) Pflicht zur Bereitstellung von Daten: Es besteht keine Verpflichtung zur Bereitstellung von Daten. Eine sinnvolle Nutzung der Services des Kundenclubs ist ohne Bereitstellung von Daten aber kaum denkbar.
13) Automatisierte Entscheidungsfindung: Der Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtlicher Wirkung entfaltet.
14) Verarbeitete Datenarten: vom Kunden im Zuge der Anmeldung zum Club bekannt gegeben Daten:
Vor- und Nachname; Anschrift(en); Telefon; E-Mail-Adresse(n); Geburtsdatum; Anrede; Titel; Registrierungsdaten (Login).
Von STEFFL zusätzlich erhoben: Herkunft Datenangabe; Umsatzsumme der Einkäufe der letzten 12 Monate; Umsätze pro Tag; Kundenstatus nach Umsatzhöhe; Umsätze nach Produktkategorien; Aktuelle Angebote für Kunden; Art und Inhalt des Vertragsverhältnisses; Verwaltung der Club-Karte (Versand, Gültigkeit, etc.)
15) Externe Empfänger von Daten: Übermittlung von elektronischen Identifikationsdaten. Google Analytics, Dienstleistungen der Google Ireland Limited (Reg.Nr. 368047), Gordon House, Barrow Street, Dublin 4, Ireland („Google“): anonymisierte IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung
Eine Liste der aktuellen Konzernunternehmen finden Sie hier:
Eine Liste der aktuellen Konzernunternehmen finden Sie hier:
- Steffl Textilhandels GmbH, Kärntner Straße 6, A-1010 Wien, FN 339387z
- Steffl Schuhhandels GmbH, Kärntner Straße 6, A-1010 Wien, FN 339388a
- „World of Mozart" Museumsbetrieb GmbH, Kärntner Straße 19, A-1010 Wien, FN 175287a
- Steffl Online GmbH, Kärntner Straße 19, A-1010
- Skybox Gastronomiebetriebs GmbH, Kärntner Straße 19, A-1010, FN 176631b
- Birko Management GmbH, Kärntner Straße 6/2, A-1010, FN: 107913x
- Mythos Mozart Betriebs GmbH, Rauhensteingasse 6-8, A-1010 FN 373060 v
Kategorien externer wirtschaftlicher Dienstleister: Steuerberater/Wirtschaftsprüfer; Rechtsanwälte; Banken und Zahlungsdienstleister; Inkasso-Büro; Soft-, Hardwarelieferanten; Postdienstleister; Druckereien
Alle externen Empfänger können in Bezug auf datenschutzrechtliche Fragestellungen einheitlich über die Kaufhaus STEFFL Betriebs AG angeschrieben und erreicht werden.
16) Drittstaatstransfer - Folgende Daten werden im Zuge der Datenverarbeitung an Staaten außerhalb der EU übermittelt:
Land: USA
Anwendung: „Social-plug-ins“: Facebook Inc., 1 Hacker Way, 94025 Menlo Park, USA; Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA; Pinterest, Inc., 808 Brannan St, San Francisco, CA 94103, USA Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA
Datenarten: IP-Adresse, URLs, Cookies und Daten zu den Browsereinstellungen
Land: USA
Anwendung: “Facebook SDK” (Software Development Kit”) Facebook Inc.,1 Hacker Way, 94025 Menlo Park, USA; https://de-de.facebook.com/policy.php
Datenarten: App Events: App-Installationen, App-Starts), sonstige (automatische oder manuelle) Standardprotokollierungen für Produktkennzahlen (z. B. Laden des SDK, SDK-Performance).
Konfigurationsdaten: Nach Einloggen, werden Anfragen im Hintergrund durchgeführt, um die Lebensdauer des Zugriffsschlüssels zu verwalten.
Fehlerinformationen: Erfassen von Fehlerinformationen, auch während der Initialisierung des SDK. Mitunter auch die Nutzer-ID von Personen, die auf Facebook eingeloggt sind.
Kurzfristige Daten: Messung von Nutzeraktivitäten, um Betrug und Missbrauch zu erkennen.
Land: Div. Drittstaaten
Anwendung:“Firebase”- Mobile Platform von Google zur Entwicklung von Apps.
Datenarten: IP Adressen, Gerätespezifikationen, Benutzernamen, E-Mailadressen, iOS-UDIDs, Firebase-Installations-IDs, Crashlytics-Installations-UUIDs, Absturzspuren, Daten im Breakpad-Minidump-Format, Hochgeladene Bilder, Authentifizierungstoken für die Firebase-Installation, Firebase-Installations-IDs, Passwörter, E-mailadressen, Telefonnummern, Benutzeragenten
Land: USA, div. Drittstaaten
Anwendung: “Salesforce” - Tool für Customer Relationship Management (CRM)
“Salesforce SDK” (“Software Development Kit” App Entwicklung)
Salesforce.com Germany GmbH, Erika-Mann-Str. 31
80636, München, DE
https://www.salesforce.com/de/company/privacy/
Datenarten: Kundendaten gem. Pkt. 14;
App Events: App-Installationen, App-Starts), sonstige (automatische oder manuelle) Standardprotokollierungen für Produktkennzahlen (z. B. Laden des SDK, SDK-Performance).
Konfigurationsdaten: Nach Einloggen, werden Anfragen im Hintergrund durchgeführt, um die Lebensdauer des Zugriffsschlüssels zu verwalten.
Kurzfristige Daten: Messung von Nutzeraktivitäten, um Betrug und Missbrauch zu erkennen.
17) Speicherdauer: Die Daten werden von STEFFL auf Grund der oben genannten Rechtsgrundlage grundsätzlich noch 30 Monate nach Vertragsbeendigung (= 24 Monate mögliche vertragliche Schadenersatzansprüche + max. 6 Monate Zustelldauer einer Klage) personenbezogen verarbeitet und danach (jedenfalls der Personenbezug) gelöscht. Danach erfolgt eine personenbezogene Datenverarbeitung von Rechnungsdaten noch bis zum Ende der gesetzlichen Aufbewahrungspflichten (z.B. Bundesabgabenordnung derzeit grundsätzlich 7 Jahre).
18) Einzubringen: Kaufhaus STEFFL Betriebs AG („STEFFL“)
c/o Datenschutzbeauftragter
Kärntnerstraße, 19 A-1010 Wien
E-Mail: datenschutz@steffl-vienna.at
Art 15 DSGVO „Auskunft“: Der Kunde hat das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten von ihm verarbeitet werden.
Art 16 DSGVO
„Berichtigung“ Der Kunde hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.
Art 17 DSGVO
„Löschung“ Der Kunde hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.
Art 18 DSGVO
„Einschränkung“ Der Kunde hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind.
Art 21 DSGVO
„Widerspruch“ Widerspruch Profiling: Der Kunde hat das Recht, jederzeit gegen die Verarbeitung seiner personenbezogenen Daten zum Zwecke des Profiling Widerspruch einzulegen.
Widerspruch Direktwerbung: Der Kunde hat das Recht, jederzeit Widerspruch gegen die Verarbeitung seiner personenbezogenen Daten zum Zwecke der Direktwerbung einzulegen.
Art 20 DSGVO
„Datenüber-tragbarkeit“ Der Kunde hat das Recht, seine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
19) Beschwerderecht Art 77 DSGVO
§ 24 DSG: Jeder Kunde hat das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
20) Aufsichtsbehörde Österreichische Datenschutzbehörde; Barichgasse 40-42; 1030 Wien; Telefon: +43 1 52 152-0; E-Mail: dsb@dsb.gv.at