Rechtliche Hinweise der Kaufhaus Steffl Betriebs AG
DATENSCHUTZINFORMATION “STEFFL THE CLUB”
Kaufhaus STEFFL Betriebs AG
1) Verarbeitungstätigkeit Kundenbindungsprogramm „STEFFL THE CLUB“
2) Verantwortlicher Kaufhaus STEFFL Betriebs AG („STEFFL“)
Sitz: Kärntner Straße 19
A-1010 Wien
Tel: +43-1-93056-0
E-Mail: theclub@steffl-vienna.at
3) Kontaktdaten des Datenschutzbeauftragten Kaufhaus STEFFL Betriebs AG („STEFFL“)
c/o Datenschutzbeauftragter
Kärntnerstraße, 19 A-1010 Wien
E-Mail: datenschutz@steffl-vienna.at
4) Zugriff auf Daten und Aktualisierung Digitaler Log-In (Website, App) über den vom Kunden festgelegten Benutzernamen und Passwort. Das Passwort kann von STEFFL nicht eingesehen werden.
5) Zwecke der Datenverarbeitung
• auf der Rechtsgrundlage der Vertragserfüllung oder -vorbereitung a) Betrieb des Kundenbindungsprogramm „STEFFL THE CLUB“
b) Erstellung und Verwaltung des Kundenkontos (auch durch Einbindung in und Verknüpfung mit Kassensystem)
c) Erhöhung der Kundenzufriedenheit und der Kundenloyalität
d) Erhöhung der Kundenbindung durch Veranstaltung von Gewinnspielen, Events und Kundenbefragungen; Einräumung von Teilnahmemöglichkeiten sowie Erfüllung von Verpflichtungen gegenüber den Teilnehmern
e) Bereitstellung von Kommunikationskanälen zu STEFFL zur Servicierung des Vertrags- und Mitgliedschaftsverhältnisses (Versand von Textnachrichten, Newsletter, E-Mails, Push Nachrichten, Telefon)
• auf der Rechtsgrundlage der (überwiegenden) berechtigten Interessen von STEFFL: Direktwerbung f) Rückgewinnung sowie Neugewinnung von Kunden
g) Verbreitung/Ausspielung von Werbung für (weitere) Waren und Dienstleistungen von STEFFL und konzernverbundenen Unternehmen im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig. Eine Liste der aktuellen Konzernunternehmen finden Sie auf der Website: www.steffl-vienna.at/partnerbetriebe
h) Auswertung des Einkaufsverhaltens und der persönlichen Vorlieben der Kunden zur zielgerichteten Verbreitung von Werbung mit dem Ziel der Vermeidung von Streuverlusten (unter Einsatz von Profiling, siehe Punkt 10.)
6) Zweckänderungen
(Weiterleitung) Direktwerbung: STEFFL informiert, dass personenbezogene Daten von Kunden auch zu Zwecken der Direktwerbung (inkl. Profiling) verarbeitet werden. Mit der Direktwerbung möchte STEFFL den Vertrieb der beworbenen (eigenen oder fremden) Produkte fördern. Zu diesem Zweck werden diese Daten keinem (nicht konzernverbundenen) Dritten überlassen. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung.
7) Widerspruch gegen die Verarbeitung zu Zwecken der Direktwerbung: Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zur Direktwerbung (inklusive „Profiling“) jederzeit und ohne Angabe von Gründen beim Verantwortlichen Widerspruch einlegen. Der Widerspruch bewirkt, dass STEFFL die personenbezogenen Daten des Kunden zukünftig nicht mehr zu diesen Zwecken verarbeitet.
8) Rechtsgrundlage der Datenverarbeitung 1) Teilnahme am STEFFL THE CLUB, an Marketingmaßnahmen, Gewinnspielen, Kommunikationskanälen: Vertragserfüllung oder -vorbereitung
2) Direktwerbung (inkl. Profiling): überwiegende berechtigte Interessen von STEFFL (siehe Punkt 9.)
9) Beschreibung der (überwiegenden) berechtigten Interessen zu Zwecken der Direktwerbung:
STEFFL verarbeitet Kundendaten (nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO („sensible Daten“)) auch, um diese zu Zwecken der Direktwerbung für (weitere) Produkte von STEFFL zu nutzen (siehe dazu auch Punkt 6.). STEFFL hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Festgehalten wird, dass der Kunde eine Kontaktaufnahme in seinen Profileinstellungen jederzeit aktivieren/deaktivieren kann. Die Teilnahme am Club und die damit verbundene Möglichkeiten zur Speicherung des Umsatzes zum Erhalt von Rabatten erfolgt, um Kunden für entgeltliche Produkte zu gewinnen und werden zu diesem Zweck diese personenbezogenen Daten zur Bewerbung verwendet. Verarbeitet werden dabei ausschließlich jene Kundendaten, über die STEFFL aus dem Vertragsverhältnis verfügt und für die noch die Speicherfrist läuft. Eine Verlängerung der Speicherfrist erfolgt dadurch nicht. Vorrangiges Ziel der Datenverarbeitung ist die Kundengewinnung und Kundenbindung mit dem Ziel, damit wieder in ein (vor-)vertragliches Vertragsverhältnis zu gelangen. Dabei stützt sich STEFFL auf seine konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit (Art. 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechte
• zur Übermittlung von postalischer Werbung;
• zur Vornahme von Werbeanrufen nach Einwilligung;
• zur Übermittlung von elektronischer Post nach Einwilligung;
• zur Übermittlung von elektronischer Post gemäß § 107 Abs 3 TKG;
Bei der Nutzung dieser Daten hält STEFFL die kommunikationsrechtlichen Vorgaben, insbesondere § 107 TKG, ein.
• der Datenverarbeitung im Konzern: STEFFL ist Teil einer Unternehmensgruppe. Zur Erfüllung seiner umfangreichen Verpflichtungen bedient sich STEFFL in arbeitsteiliger Weise auch konzernverbundenen Unternehmen. Daran hat STEFFL ein überwiegendes berechtigtes Interesse (Erwägungsgrund 48 der DSGVO). Personenbezogene Daten erhalten innerhalb der Unternehmensgruppe nur Stellen, die diese Daten zur Erfüllung der vertraglichen, gesetzlichen Pflichten sowie Wahrung berechtigter Interessen benötigen. Diese Stellen sind vertraglich zur Einhaltung sämtlicher datenschutzrechtlicher Vorgaben verpflichtet.
10) Bewertungen von persönlichen Aspekten des Kunden („Profiling“)
Art Beschreibung
Bewertung von persönlichen Interessen Zum Zweck einer optimalen Kundenbetreuung sowie zur Vermeidung von Streuverlusten (und der Minimierung von Datenverarbeitungen) im Direktmarketing speichert STEFFL das Kaufverhalten (Bestellungen, Beschwerden), wie zum Beispiel, Reaktionen auf bestimmte Angebote, und schließt daraus auf bestimmte persönliche Interessen. Diese bewerteten Interessen verwendet STEFFL, um für den Kunden zielgerichtet, interessensspezifische Maßnahmen zu setzen und Angebote und Werbung zu unterbreiten. Insb. um Werbung zur Kundenbindung zu übermitteln, um so Streuverluste bei der Werbung zu vermeiden.
11) Widerspruch gegen das „Profiling“: Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zu Zwecken des Profiling jederzeit und ohne Angabe von Gründen Widerspruch beim Verantwortlichen einlegen. Der Widerspruch bewirkt, dass STEFFL die personenbezogenen Daten des Kunden zukünftig nicht mehr zu Zwecken des Profiling verarbeitet.
12) Pflicht zur Bereitstellung von Daten Es besteht keine Verpflichtung zur Bereitstellung von Daten.
13) Automatisierte Entscheidungsfindung Der Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtlicher Wirkung entfaltet.
14) Verarbeitete Datenarten
vom Kunden
im Zuge der Anmeldung zum Club bekannt gegeben Daten: von STEFFL zusätzlich erhoben
Vor- und Nachname Herkunft Datenangabe
Anschrift(en) Gesamtumsatz und Umsatzsumme der Einkäufe der letzten 12 Monate
Telefon Umsätze pro Tag und nach Abteilung
E-Mail-Adresse(n) Kundenstatus nach Umsatzhöhe
Geburtsdatum Umsätze nach Produktkategorien
Anrede Aktuelle Angebote für Kunden
Titel Markenbasiertes Kaufverhalten
Registrierungsdaten (Login) Art und Inhalt des Vertragsverhältnisses
Verwaltung der Club-Karte (Versand, Gültigkeit, etc.)
Im Online-Bereich: Login registrierter Nutzer und Verhalten
Kommunikationshistorie, Kampagnenverhalten (Analyse Konsum clubrelevanter Gutscheine)
Versandverhalten (Nutzung Postversand, Expressversand)
Auswertung Gutscheine der Willkommensbox
Onlineshop:
z.B. Speicherung der favorisierten Artikel
15) Externe Empfänger von Daten Eine Liste der aktuellen Konzernunternehmen finden Sie auf der Website: www.steffl-vienna.at/partnerbetriebe
Kategorien externer wirtschaftlicher Dienstleister:
Steffl Textilhandels GmbH, Kärntner Straße 6, A-1010 Wien, FN 339387z Steuerberater/Wirtschaftsprüfer
Steffl Schuhhandels GmbH, Kärntner Straße 6, A-1010 Wien, FN 339388a Rechtsanwälte
„World of Mozart" Museumsbetrieb GmbH, Kärntner Straße 19, A-1010 Wien, FN 175287a Banken und Zahlungsdienstleister
Steffl Onlinehandels GmbH, Kärntner Straße 19, A-1010 Inkasso-Büro
Skybox Gastronomiebetriebs GmbH, Kärntner Straße 19, A-1010, FN 176631b Soft-, Hardwarelieferanten
Mythos Mozart Betriebs GmbH, Rauhensteingasse 6-8, A-1010, FN 373060v Postdienstleister
Druckereien
Alle externen Empfänger können in Bezug auf datenschutzrechtliche Fragestellungen einheitlich über die Kaufhaus STEFFL Betriebs AG angeschrieben und erreicht werden.
Empfänger elektronischer Identifikationsdaten
Drittstaaten (USA) – die Übermittlung erfolgt aufgrund von Standarddatenschutzklauseln aufgrund ausdrücklicher Einwilligung
Nähere Informationen finden Sie in der Cookie Information [Link] Verarbeitete Datenarten:
anonymisierte IP-Adresse, ungefährer Standort (Region) Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung („Klickpfad“), Referrer-URL, Pixel-spezifische Daten (Pixel ID, Facebook Cookie), Button-Klick-Daten
Speicherdauer: In der Regel eine Speicherdauer von 90 Tagen, die Speicherdauer kann der Nutzer in den Browsereinstellungen selbst verringern.
Google Analytics, Dienstleistungen der Google Inc., Amphitheatre Parkway, Mountain View, CA 94043 („Google“) Cookies zur Analyse der Benutzung digitaler Inhalte: anonymisierte IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Websitenutzung
“Facebook SDK” (Software Development Kit”)
Facebook Inc.,1 Hacker Way, 94025 Menlo Park, USA; bzw Facebook Ireland Ltd., Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland
https://de-de.facebook.com/policy.php
App Events: App-Installationen, App-Starts), sonstige (automatische oder manuelle) Standardprotokollierungen für Produktkennzahlen (z. B. Laden des SDK, SDK-Performance).
Konfigurationsdaten: Nach Einloggen, werden Anfragen im Hintergrund durchgeführt, um die Lebensdauer des Zugriffsschlüssels zu verwalten.
Fehlerinformationen: Erfassen von Fehlerinformationen, auch während der Initialisierung des SDK. Mitunter auch die Nutzer-ID von Personen, die auf Facebook eingeloggt sind.
Kurzfristige Daten: Messung von Nutzeraktivitäten, um Betrug und Missbrauch zu erkennen.
“Meta Pixel” des sozialen Netzwerks „Facebook“
Facebook Inc.,1 Hacker Way, 94025 Menlo Park, USA; bzw Facebook Ireland Ltd., Grand Canal Square, Grand Canal Harbour, Dublin 2, Ireland.
https://de-de.facebook.com/policy.php
Verwendung zu Remarketing um zielgerichtete Werbung anzuzeigen und Wirksamkeit von Ads für statistische und Marketingzwecke zu überprüfen.
“Firebase ”- Mobile Platform, ein Dienst der Google Ireland Ltd., Google Building Gordon House, Barrow Street, Dublin 4, Ireland.
zur Entwicklung von Apps
https://firebase.google.com/support/privacy
Datenarten: IP Adressen, Gerätespezifikationen, Benutzernamen, E-Mailadressen, iOS-UDIDs, Firebase-Installations-IDs, Crashlytics-Installations-UUIDs, Absturzspuren, Daten im Breakpad-Minidump-Format, Hochgeladene Bilder, Authentifizierungstoken für die Firebase-Installation, Firebase-Installations-IDs, Passwörter, E-mailadressen, Telefonnummern, Benutzeragenten
Externe Empfänger von Daten über „Social-plug-ins“ („Plugins“):
STEFFL selbst erfasst über „Social-plug-ins“ und über deren Nutzung keine personenbezogenen Daten. Es ist aber möglich, dass über die Plugins personenbezogene Daten über die Besucher der Website von STEFFL erhoben werden, an den jeweiligen Dienst übermittelt und mit dem jeweiligen Dienst des Besuchers verknüpft werden. Um zu verhindern, dass Daten ohne Wissen des Nutzers an die Diensteanbieter in USA übertragen werden, setzt STEFFL auf der Website die sog. „Shariff-Lösung“ ein. Dies bewirkt, dass die Plugins zunächst nur als Grafik eingebunden werden. Die Grafik enthält eine Verlinkung auf die Website des jeweiligen Anbieters, erst mit Anklicken, wird der Nutzer zum Dienst des Anbieters weitergeleitet. Es wird dadurch verhindert, dass automatisch personenbezogene Daten an die Plugin Anbieter weitergeleitet werden, wenn die Website der STEFFL besucht wird. Erst durch Anklicken der Grafik können Daten übertragen werden. Mit Anklicken erhält der jeweilige Diensteanbieter die Information, dass der Nutzer die jeweilige Seite des Online-Angebots der STEFFL besucht hat. Der Nutzer muss dafür beim jeweiligen Anbieter weder eingeloggt, noch ein Benutzerkonto haben. Wenn der Nutzer beim Anbieter ein Konto hat, können die vom Plugin Anbieter erhobenen Daten direkt diesem Konto dort zugeordnet werden. STEFFL hat keinen Einfluss darauf, ob und in welchem Umfang der Diensteanbieter personenbezogene Daten erhebt. Umfang, Zweck und Speicherfristen sowie die dortige weitere Verarbeitung und Nutzung der Daten sind uns nicht bekannt. Diese Information und Informationen zu ihren Datenschutzrechten und Einstellungsmöglichkeiten entnehmen Sie bitte den Datenschutzinformationen direkt von der Website des jeweiligen Dienstes.
Datenarten:
IP-Adresse, URLs, Cookies und Daten zu den Browsereinstellung
Land Anwendung
USA Facebook Inc., 1 Hacker Way, 94025 Menlo Park, USA;
Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA;
Pinterest, Inc., 808 Brannan St, San Francisco, CA 94103, USA
Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA
LinkedIn Ireland Unlimited Company Wilton Plaza, Gardner House 4,5,6
2, Dublin, Irland
Tiktok Technology Ltd,
10 Earlsfort Terrace,
Co. Dublin, Ireland
https://www.facebook.com/help/186325668085084
https://help.instagram.com/155833707900388
https://policy.pinterest.com/de/privacy-policy
https://twitter.com/de/privacy
https://de.linkedin.com/legal/privacy-policy
https://www.tiktok.com/legal/page/eea/privacy-policy/de-DE
16) Speicherdauer Daten gem. Pkt. 14 können von STEFFL auf Grund der genannten Rechtsgrundlage bis zum Ende des Vertrages, danach längstens noch 30 Monate nach Vertragsbeendigung (= 24 Monate mögliche vertragliche Schadenersatzansprüche + max. 6 Monate Zustelldauer einer Klage) personenbezogen verarbeitet werden. Der Vertrag gilt als beendet, wenn ein Kunde in einem Zeitraum von 18 Monaten keinen Umsatz mehr getätigt hat. Danach erfolgt eine personenbezogene Datenverarbeitung von Rechnungsdaten noch bis zum Ende der gesetzlichen Aufbewahrungspflichten (z.B. Bundesabgabenordnung derzeit grundsätzlich 7 Jahre).
17) Rechte des Kunden Grundlage Inhalt
Art 15 DSGVO „Auskunft“ Der Kunde hat das Recht, Auskunft darüber zu verlangen, ob personenbezogene Daten von ihm verarbeitet werden.
Art 16 DSGVO
„Berichtigung“ Der Kunde hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.
Art 17 DSGVO
„Löschung“ Der Kunde hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.
Art 18 DSGVO
„Einschränkung“ Der Kunde hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind.
Art 21 DSGVO
„Widerspruch“ Widerspruch Profiling: Der Kunde hat das Recht, jederzeit gegen die Verarbeitung seiner personenbezogenen Daten zum Zwecke des Profiling Widerspruch einzulegen.
Widerspruch Direktwerbung: Der Kunde hat das Recht, jederzeit Widerspruch gegen die Verarbeitung seiner personenbezogenen Daten zum Zwecke der Direktwerbung einzulegen.
Art 20 DSGVO
„Datenüber-tragbarkeit“ Der Kunde hat das Recht, seine personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.
18) Beschwerderecht Art 77 DSGVO
§ 24 DSG
Jeder Kunde hat das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.
19) Aufsichtsbehörde Österreichische Datenschutzbehörde
Barichgasse 40-42, 1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at
Sollten in dieser Datenschutzinformation auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sein, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden. Unter Kunden werden sowohl Konsumenten (Verbraucher), als auch Unternehmer verstanden.
Der Zugriff auf Daten ist nur auf vom Kunden bereitgestellte Daten möglich.