Datenschutzerklärung für myPass

Wir freuen uns sehr über Ihr Interesse an myPass. Um myPass anbieten zu können, benötigen wir natürlich auch einige Daten über Sie. Dabei nehmen wir den Schutz personenbezogener Daten sehr ernst und verarbeiten diese stets im Einklang mit den anwendbaren datenschutzrechtlichen Bestimmungen, insbesondere der EU Datenschutz-Grundverordnung (DSGVO). Mit dieser Datenschutzerklärung möchten wir Sie vollumfänglich über Art, Umfang und Zweck der von uns verarbeiteten personenbezogenen Daten und Ihre Rechte als betroffene Person informieren.

I. Verantwortlicher und allgemeine Hinweise

Ihre Daten werden durch die myPass GmbH, Axel Springer Straße 65, 10888 Berlin, Telefon: 030-2591-0, E-Mail: info@mypass.de verarbeitet (Diensteanbieter im Sinne des Telemediengesetzes (TMG) und Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO)). Diese meinen wir auch, wenn wir Formulierungen wie "wir" oder "uns" benutzen. Unter "myPass" verstehen wir in diesem Dokument secure.mypass.de, www.mypass.de, secure.axelspringer.de. Einzelne Teile von myPass werden im Folgenden auch als "Onlinedienste" bezeichnet. Diese meinen wir auch, soweit nachfolgend von einer Website die Rede ist.

Unsere Services sind für die allgemeine Öffentlichkeit und nicht für Kinder gedacht. Wir erheben wissentlich keine personenbezogenen Daten von Nutzern, die gemäß der jeweiligen nationalen Gesetzgebung als Kinder gelten.

nach oben

II. myPass als Dienst

myPass ist ein Internetdienst, der verschiedene Leistungen beinhaltet: Neben seiner Single Sign-on-Komponente (siehe hierzu Ziffer III.) ist myPass ein Dienst, der

  • dem Nutzer den einfachen und direkten Zugang zu für ihn freigeschalteten Inhalten bei allen Diensten, Bereichen und Anwendungen auf allen Websites und Apps, die myPass verwenden (im Folgenden insgesamt „die Onlineangebote“ genannt), ermöglicht und
  • die Nutzung der teilnehmenden Onlineangebote in mancherlei Hinsicht generell komfortabler macht.

Dafür sind bei myPass für die Leistungen von myPass selbst, aber auch für die Onlineangebote, die myPass nutzen, bestimmte Daten einschließlich bestimmter personenbezogenen Daten zentral in einer Datenbank hinterlegt. Darüber, welche Daten wie gespeichert sind, sowie darüber, wer welche Daten wie und unter welchen Bedingungen abrufen kann, finden Sie nachfolgend umfassend Auskunft.

nach oben

III. Single Sign-on-Dienst: Was bedeutet das?

Single Sign-on bedeutet im Falle von myPass, dass Sie sich nach einer einmaligen Registrierung und Authentifizierung für alle teilnehmenden Onlineangebote mit einheitlichen Zugangsdaten anmelden (einloggen) können, ohne dass Sie dort jedes Mal erneut einen Registrierungsprozess durchlaufen müssen. Zudem erlaubt es myPass als Single Sign-on-Dienst, dass Sie nach einem Log-in insgesamt angemeldet bleiben und auf diesem Weg alle Onlineangebote (vorbehaltlich für den betreffenden Dienst erforderlicher weiterer Erklärungen) ohne weitere Anmeldevorgänge unmittelbar nutzen können. Sie besitzen also eine diensteübergreifende „Identität“, die von den Onlineangeboten, die Sie verwenden möchten, erkannt und verifiziert werden kann. Für die Onlineangebote, deren Inhalte sowie die diesbezüglichen Verarbeitung personenbezogener Daten sind ausschließlich die Unternehmen verantwortlich, die Ihnen gegenüber das jeweilige Onlineangebot offerieren (nachfolgend „Diensteanbieter“).

nach oben

IV. Das myPass-Benutzerkonto

Wir verarbeiten personenbezogene Daten, wenn Sie sich für myPass registrieren, um ein Benutzerkonto zu eröffnen, wenn Sie später gegebenenfalls weitere Daten zu Ihrem Benutzerkonto hinzufügen und wenn Sie Ihre Zugangsdaten für die Anmeldung zu einem Onlineangebot verwenden.

1. Die Registrierung

1.1 Registrierung über ein Onlineangebot

Sie können über jedes Onlineangebot, das myPass verwendet, ein myPass-Benutzerkonto eröffnen. Entweder das jeweilige Onlineangebot hält hierfür ein eigenes, entsprechend gekennzeichnetes Formular bereit oder das Onlineangebot hat direkt ein Formular von myPass eingebunden.

Für eine Registrierung immer erforderlich ist die Angabe einer gültigen E-Mail-Adresse und eines Passworts (Webangebote und mobile Apps; zu TV Apps siehe sogleich). Diese Daten bilden später Ihre myPass-Zugangsdaten. Die E-Mail-Adresse kann danach von den Onlineangeboten zu den hier oder in der Datenschutzerklärung des jeweiligen Dienstes erläuterten Zwecken abgefragt werden. Das Passwort wird hingegen als Hash-Wert gespeichert. Bei TV Apps wird auf dem TV-Gerät eine PIN generiert, die Sie während ihrer Gültigkeit in Ihrem „Mein Konto“-Bereich über Ihren Computer oder über das von Ihnen genutzte mobile Endgeräte verknüpft mit einem zu vergebenden Namen für das TV-Gerät eingeben. Das TV-Gerät wird dann mit Ihrer SSO-ID (zu dieser siehe unten) verknüpft; die PIN verliert ihre Gültigkeit. Die Identifikation des TV-Geräts wird in der Folge über eine von der jeweiligen TV-App erzeugte Geräte-ID bewerkstelligt.

Ansonsten richten wir die Formulare der Onlineangebote zur Registrierung grundsätzlich an dem aus, was die betreffenden Diensteanbieter für die Erbringung der Leistungen der jeweiligen Onlineangebote benötigen. Aus diesem Grund genügt für das eine Onlineangebot, z.B. ein Browsergame, als weitere Angabe vielleicht ein Benutzername, während ein anderes Onlineangebot, zum Beispiel ein Internet-Shop, Sie auch nach Ihrem bürgerlichen Namen und Ihrer Anschrift fragen wird. Ein Onlineangebot bzw. der Diensteanbieter kann im Zusammenhang mit der Registrierung auch weitere Daten als Pflichtfeld oder als freiwillige Zusatzangabe vorgeben. Diese Daten werden dann ebenfalls erhoben und Teil des Stammdatensatzes (zu diesem siehe unten Ziffer 2).

Nach Empfang der Daten vergeben wir für Sie eine SSO-ID (Benutzernummer) und senden Ihnen eine E-Mail, damit Sie Ihre E-Mail-Adresse bestätigen können. Der Link in der E-Mail enthält dabei nicht die Mailadresse in Klarschrift, sondern nur einen zufällig generierten so genannten Token mit einer begrenzten zeitlichen Gültigkeit. Haben wir die Bestätigung erhalten und liegen keine besonderen Umstände vor, schalten wir Ihr myPass-Benutzerkonto frei und leiten Sie, nachdem wir einen Cookie bzw. ein entsprechendes Token gesetzt haben (zu beidem eingehender siehe Ziffer IX. 2.), als registrierten Nutzer zum Onlineangebot zurück. Sie können sich nun dort ebenso wie bei den anderen Onlineangeboten mit Ihren myPass-Zugangsdaten anmelden. Alternativ kann Ihnen das jeweilige Onlineangebot aber auch gestatten, unmittelbar mit der Nutzung fortzufahren, also ohne, dass Sie die E-Mail-Adresse bereits bestätigt haben. In solchen Fällen werden Cookie und bzw. Token gesetzt und die Bestätigung der E-Mail-Adresse muss lediglich vor dem nächsten Log-in erfolgen bzw. bevor Sie bei anderen Onlineangeboten Leistungen in Anspruch nehmen können.

1.2 Registrierung über andere Log-In / Identitätsdienste

Wir bieten ggf. Ihnen auch eine Registrierung und Anmeldung bei myPass mithilfe von anderen Log-In / Identitätsdiensten an, wenn Sie über einen Account bzw. Accounts bei einem bzw. mehreren solchen verfügen (z.B. „Mit Facebook anmelden“). Sie können auf diesem Weg bestimmte Ihrer Angaben aus Ihrem bestehenden Account heranziehen und damit einmalig Ihr Benutzerkonto für myPass befüllen. Zudem können Sie sich danach stets über den gewünschten Log-In Dienst / Identitätsdienst bei myPass anmelden und Funktionen des Log-In Dienstes / Identitätsdienstes auch in dem betreffenden Onlineangebot nutzen.

1.2.1 Facebook

„Mit Facebook anmelden“ ist ein Dienst von Facebook. Dem entsprechend gelten für ihn die Datenschutzbedingungen und Nutzungsbedingungen von Facebook. Neben den Informationen, die Sie in den Datenschutzbedingungen von Facebook finden, werden Sie im Zuge des Registrierungs- bzw. Anmeldevorgangs für myPass darüber informiert, auf welche Daten Facebook dem Onlineangebot ggf. den Zugriff ermöglicht, und Sie werden gebeten, Ihre entsprechende Zustimmung zu erteilen. Die Zugangsdaten für Ihren Facebook-Account erfahren wir oder das Onlineangebot dabei nie.

1.2.2 VERIMI

VERIMI ist ein Dienst der VERIMI GmbH mit Sitz in Frankfurt a.M. Als Anbieter in von VERIMI ist die VERIMI GmbH ist für die eigene Plattform und die VERIMI-Funktionen selbst und separat verantwortlich. Für die Nutzung von VERIMI gelten die Nutzungs- und Datenschutzbedingungen für VERIMI, die sie hier abrufen können: VERIMI Nutzungsbedingungen und VERIMI Datenschutzinformation.

Nur wenn Sie VERIMI aktiv für die Registrierung und Anmeldung bei uns nutzen, erhalten wir von der VERIMI GmbH direkt Daten, die Ihre Authentifizierung als Nutzer und damit die Anmeldung bei uns zu ermöglichen. Darüber hinaus werden Daten, die Sie bei VERIMI hinterlegt haben, an uns nur dann übermittelt, wenn dies für Durchführung Ihres Vertrages mit uns erforderlich ist, Art. 6 Abs. 1 lit. b) DSGVO, oder aufgrund Ihrer Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO. Möchten Sie bestimmte Daten von uns an VERIMI übermitteln, geschieht dies ebenfalls nur mit Ihrer Einwilligung, Art. 6 Abs. 1 lit. a) DSGVO.

Soweit es erforderlich ist, dass Sie sich uns gegenüber als Person verifizieren, können Sie hierfür ebenfalls VERIMI nutzen. Der Verifizierungsprozess einschließlich der von Ihnen bei der Verifizierung genutzten Dokumente werden ausschließlich bei der VERIMI GmbH verarbeitet. Wir erhalten dabei nur die Information, dass und welche Angaben über Sie verifizierte Angaben sind.

Sie können jederzeit die Verbindung zu VERIMI aufheben. Gehen Sie dazu in Ihr VERIMI-Nutzerkonto und deaktivieren dort die Verknüpfung.

Um Ihr Benutzerkonto für myPass anzulegen, benötigen wir davon unabhängig jedoch Ihre E-Mail-Adresse, weshalb wir hierfür die E-Mail-Adresse, die Sie bei dem jeweiligen Log-In Dienst / Identitätsdienst hinterlegt haben, von dem Onlineangebot erhalten können. Wenn es erforderlich ist, können wir mit dieser E-Mail-Adresse mit Ihnen direkt in Kontakt treten. Sollten Sie zudem einmal die Verbindung zwischen Ihrem Account bei dem Log-In Dienst / Identitätsdienst und dem dortigen Angebot des Onlineangebots aufheben, können Sie sich über diese E-Mail-Adresse und mit der Funktion „Passwort vergessen“ ein myPass-Passwort für Ihr myPass-Benutzerkonto schicken lassen und myPass so problemlos weiter nutzen.

Haben Sie die Registrierung über den Log-In Dienst / Identitätsdienst abgeschlossen, speichert myPass die Information, dass Sie sich über den betreffenden Log-In Dienst / Identitätsdienst bei myPass registriert haben, mittels eines entsprechenden Schlüssels. Wenn Sie nach Ihrer Registrierung über den Log-In Dienst / Identitätsdienst mit Ihrem myPass-Benutzerkonto weitere Onlineangebote nutzen, die hierfür ggf. zusätzliche Informationen von Ihnen benötigen, werden wir Sie bitten, Ihr myPass-Benutzerkonto zu aktualisieren bzw. zu ergänzen. In keinem Fall werden Daten, die Sie dann für myPass eingeben, an den jeweiligen Log-In Dienst / Identitätsdienst weitergegeben. Wenn Sie sich „nur“ über einen Log-In Dienst / Identitätsdienst anmelden, verlangen einige Onlineangebote ggf. für das Durchführen einer Transaktion (z.B. den Kaufs eines Produkts), dass Sie Ihr Passwort auch in myPass selbst setzen und das myPass-Benutzerkonto so vervollständigen.

1.3 Registrierung über bestehende Accounts bei Onlineangeboten

Vergleichbar mit dem unter Ziffer 1.2 beschriebenen Prozess, bieten wir gegebenenfalls auch eine Registrierung unter Nutzung von Ihnen bereits unterhaltener Benutzer-Accounts bei einzelnen Onlineangeboten an. Hierfür halten wir eine spezielle Schnittstelle vor, über die der für das Anlegen des myPass-Benutzerkontos erforderliche Datenaustausch (Verifizierung des Nutzers, Übertragung der für das Onlineangebot erforderlichen Daten) ermöglicht wird. Über weitere etwaige Besonderheiten bei diesem Weg der Registrierung informieren wir Sie selbstverständlich im Zuge der Registrierung.

2. Die Stammdaten

Die Daten, die Sie bei der Registrierung in das Registrierungsformular eingetragen haben, bilden bei uns zusammen mit Ihrer SSO-ID den ersten Stammdatensatz Ihres myPass-Benutzerkontos (im Folgenden „der Stammdatensatz“ genannt). Auf welche Stammdaten das jeweilige Onlineangebot Zugriff hat, wird von myPass technisch reglementiert und orientiert sich daran, was für die Leistungserbringung erforderlich ist.

Der Stammdatensatz kann sich im Zuge der Nutzung der verschiedenen Onlineangebote um zusätzliche Angaben erweitern. Das geschieht dann, wenn Sie ein Onlineangebot nutzen wollen, das für die Leistungserbringung Daten benötigt, die noch nicht Teil des Stammdatensatzes sind (zum Beispiel Ihren Namen und Ihre Anschrift, um Ihnen eine Rechnung zustellen zu können, Ihr Geburtsdatum oder Ihre Telefonnummer). myPass wird Sie bei Ihrer Registrierung für das Onlineangebot bzw. bei Ihrer ersten Anmeldung um die Angabe der betreffenden Daten bitten. Geben Sie diese Daten dann an, werden sie Teil des Stammdatensatzes. Wie die Daten, die von vornherein nur das einzelne Onlineangebot betreffen und damit spezifisch für das Onlineangebot erhoben und genutzt werden (können), können Sie unten Ziffer VI. nachlesen.

Zudem bedingt die Nutzung von myPass über mobile Endgeräte und einige weitere Endgerättypen (wie zum Beispiel Fernseher) die Registrierung des betreffenden Geräts, da die Nutzung von Onlineangeboten über mehrere Endgeräte hinweg limitiert sein kann (siehe unten Ziffer V.2.). Die Registrierung geschieht durch Angabe der Gerätekennung, die die Endgeräte teilweise selbstständig übermitteln. Diese Daten werden ebenfalls Teil Ihres Stammdatensatzes.

3. Einwilligungs- und Zustimmungserklärungen

Neben den Stammdaten wird in Ihrem Benutzerkonto jeweils die aktuell geltende Version unserer Geschäftsbedingungen und Datenschutzerklärungen angezeigt. Sofern Sie darüber hinaus auch einem oder mehreren der Onlineangebote eine datenschutzrechtliche Einwilligung erteilt haben, wird dies ebenfalls vermerkt. Der Einwilligung können Sie jederzeit widersprechen (siehe Ziffer XIII.).

4. Die Speicherung der Daten

Die Speicherung der Stammdaten ebenso wie der in Ziffer IV. 3. genannten Merkmale erfolgt, damit die Funktionen von myPass und das ausgewählte Onlineangebot genutzt werden können. Die Diensteanbieter erhalten dabei Zugriff auf die Daten (siehe unten Ziffer VI. 2.), um die Leistungen der jeweiligen Onlineangebote erbringen zu können.

nach oben

V. Angebotsspezifische Daten

1.

Neben den Stammdaten benötigen einzelne Onlineangebote bzw. die Diensteanbieter auch spezifische Daten, die nur für das betreffende Onlineangebot bzw. den betreffenden Diensteanbieter relevant sind (im Folgenden für beide Konstellationen „spezifische Daten“ genannt). Für diese Daten gelten die folgenden Regeln:

Bestimmte spezifische Daten werden aus technischen Gründen ebenfalls im myPass-System gespeichert. Das sind zum Beispiel Informationen darüber, welche Newsletter Sie ggf. in den Onlineangeboten bzw. von den Diensteanbietern bestellt haben. Daneben haben die Diensteanbieter, deren Onlineangebote myPass nutzen, die Möglichkeit, weitere von ihnen selbst erhobene Daten im myPass-System zu speichern, wenn sie dies wollen, wie zum Beispiel (falls vorhanden/angegeben):

  • dienstespezifische User-ID,
  • Nicknames der Nutzer,
  • Daten über die in Anspruch genommenen Dienste selbst,

Jedoch sind die spezifischen Daten über die Schnittstellen (zu diesen Ziffer VI.) für andere bzw. nicht von dem betreffenden Diensteanbieter betriebene Onlineangebote grundsätzlich nicht abrufbar. Diese Daten werden durch das betreffende Onlineangebot bzw. den betreffenden Diensteanbieter getrennt verarbeitet und ausschließlich durch das Onlineangebot bzw. den Diensteanbieter genutzt.

2.

Einzelne Diensteanbieter sehen für die Nutzung bestimmter Onlineangebote eine Beschränkung auf eine maximale Anzahl – meist fünf – bestimmter Endgeräte (PCs, Notebooks, Tablets, Smartphones etc.) vor. Um diese Beschränkung technisch umzusetzen, generiert myPass teilweise zusätzliche Daten, die als eine Art Geräte-ID fungieren. So wird bei Geräten mit iOS-Betriebssystem App-seitig und außerhalb des SSO-Systems die Generierung einer zufälligen Identifikationsnummer veranlasst, die dann beim Login mit der SSO-ID verknüpft wird und in der Form eines Hashwerts zur Identifizierung des Geräts im SSO-System gespeichert. Bei Android-Geräten wird ein Hashwert aus der Mac-Adresse des WLAN-Moduls sowie der App-ID generiert und gespeichert. Eine „personenbezogene“ Identifizierung der Geräte jenseits der Zwecke der erläuterten Beschränkung ist dabei ausgeschlossen.

nach oben

VI. Die Nutzung der Stammdaten durch die Diensteanbieter

1.

Wenn Sie sich mit Ihren Zugangsdaten bei einem Onlineangebot anmelden möchten, übergibt das Onlineangebot den Vorgang an unseren myPass-Server. Der myPass-Server verifiziert dann, dass Sie tatsächlich ein registrierter Nutzer sind und alle für das Onlineangebot erforderlichen Daten angegeben haben, und überprüft, ob Sie den AGB des betreffenden Onlineangebots bereits zugestimmt haben und, soweit gefordert, einen Einwilligung in die vorgesehen Datenverarbeitung erklärt haben, und teilt das Ergebnis dem Server des Onlineangebots zusammen mit der SSO-ID mit. Nach erfolgreicher Verifikation und Feststellung der weiteren genannten Punkte haben Sie Zugang zum Onlineangebot – sowie auch allen anderen Onlineangeboten, soweit diese nicht zusätzlich zugangsbeschränkte Bereiche haben, für die Sie (noch) nicht freigeschaltet sind (z.B. für Abonnenten). Wenn für das Onlineangebot noch Daten oder Zustimmungen/Einwilligungen fehlen, werden Sie ggf. gebeten, Ihre Angaben entsprechend zu vervollständigen bzw. nachzuholen.

2.

Nach erfolgreicher Anmeldung hat das Onlineangebot bzw. der jeweilige Diensteanbieter nun die Möglichkeit, über eine Schnittstelle seine Angebots-ID sowie Ihre SSO-ID dem myPass-Server mitzuteilen und darüber Ihre Stammdaten abzurufen. Der Diensteanbieter hat hierbei nur auf diejenigen Daten Zugriff, die für das betreffende Onlineangebot relevant sind. Dabei kann es sich um Ihre E-Mail-Adresse, Ihre ID in einem sozialen Netzwerk (sofern im Account vorhanden, siehe oben Ziffer IV. 1.2) sowie (sofern vorhanden) Ihre Kundennummer im Abrechnungssystem, die erforderliche Gerätekennung Ihres TV-Geräts bzw. mobilen Endgeräts (siehe ebenfalls oben) oder ähnliche Daten handeln.

Ausgenommen sind bei alledem natürlich Daten, die nur Vertragsverhältnisse anderer Diensteanbieter betreffen bzw. im Zusammenhang mit solchen Vertragsverhältnissen erhoben wurden und ausschließlich in jenen Verhältnissen erforderlich sind.

Mit den übermittelten Daten werden Sie im Onlineangebot „erkannt“. Zudem „erfährt“ der Diensteanbieter, dass Ihre für die Nutzung des Onlineangebots erforderlichen Zustimmungen und Einwilligungen vorliegen, da andernfalls die Weiterleitung zum Onlineangebot unterbunden wird. Der Diensteanbieter kann Sie nun im Onlineangebot begrüßen und Ihnen die jeweiligen Leistungen zur Verfügung stellen, also Ihnen zum Beispiel Zugang zu den abonnierten Inhalten gewähren, Sie Ihren Account in einem Online-Spiel nutzen oder Sie Bestellungen tätigen lassen etc. – je nachdem, was Gegenstand des Onlineangebots ist. Soweit dafür (zum Beispiel in einem Online-Shop) das Ausfüllen eines Webformulars erforderlich ist, kann das durch die an das Onlineangebot übermittelten Stammdaten (zumindest teilweise) automatisiert geschehen.

myPass fungiert also als Ihre zentrale Verwaltung der Nutzungs- bzw. Zugangsberechtigungen zu entgeltpflichtigen oder sonst zugangsbeschränkten Bereichen bzw. Inhalten der Onlineangebote sowie bestimmter für die Erbringung der jeweiligen Leistungen erforderlichen Daten. Die Onlineangebote können Ihnen daher nach der Anmeldung im myPass-Account durch eine automatisierte Abfrage bei myPass als autorisierten Nutzer unmittelbar Zugang zu den betreffenden Bereichen bzw. Inhalten geben und die Leistungen zur Verfügung stellen, ohne weitere Identifizierungs- und Authentifizierungsschritte vorsehen zu müssen.

3.

In Ergänzung zu Ziffer VI. 2 weisen wir zur Klarstellung noch einmal auf Folgendes hin: Die Stammdaten sind zwar zentral in dem myPass-Datenbanksystem hinterlegt, aber nicht etwa für alle Onlineangebote frei verfügbar. Bei den spezifischen (V.) Daten ist dies ohnehin nicht der Fall. Auch die anderen hinterlegten Daten unterliegen einem differenzierten Rollen- und Rechte-Konzept von myPass, das sicherstellt, dass das jeweilige Onlineangebot bzw. der Diensteanbieter nur auf diejenigen Daten Zugriff hat, die es bzw. ihn selbst betreffen.

nach oben

VII. Pflege der in myPass hinterlegten Daten

Onlineangebote, die Ihnen die Möglichkeit bieten, bestimmte Ihrer Daten über so genannte Pflegemasken zu aktualisieren (z. B. Hinterlegung Ihrer neuen Anschrift, Verwaltung neuer Endgeräte) verlinken teilweise auf myPass und spielen die geänderten Daten unter Mitgabe der SSO-ID des Onlineangebots bei myPass ein.

Daneben haben wir gegebenenfalls auch einen Nutzer-Support eingerichtet, der für den Nutzer „offline“ (insbesondere per Telefon) erreichbar ist. Der Nutzer-Support kann gegebenenfalls bestimmte vom Nutzer gewünschte Änderungen im myPass-System vornehmen. Aus Datenschutz- und Datensicherheitsgründen sind die Befugnisse des Nutzer-Supports jedoch begrenzt. So kann der Nutzer-Support keine Passwörter entgegennehmen oder ändern. Auch die E-Mail-Adresse des Nutzers kann nur unter Beteiligung des Nutzers über ein Double-Opt-in-Verfahren (siehe oben Ziffer IV 1.1) geändert werden.

nach oben

VIII. Rechtsgrundlage und Zwecke der Verarbeitung

Wir verarbeiten Ihre Daten ausschließlich aufgrund einer oder mehrerer der möglichen gesetzlichen Grundlagen. Gemäß DSGVO können personenbezogene Daten insbesondere aufgrund eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, bei Vorliegen einer Einwilligung, aufgrund eines berechtigten Interesses oder eines Gesetzes sowie zum Schutz lebenswichtiger oder öffentlicher Interessen verarbeitet werden.

Die oben beschriebene Datenverarbeitung (Anlegen und Verwalten Ihres myPass-Accounts, Durchführung der Authentifizierung für die Anmeldung bei den Onlineangeboten und Verfügbarmachen bestimmter Ihrer Daten für die Onlineangebote) erfolgt zur Erfüllung des Vertrags zwischen Ihnen und uns, Art. 6 Abs. 1 lit. b DSGVO.

Im Internet benötigt jedes Gerät zur Übertragung von Daten eine eindeutige Adresse, die sogenannte IP-Adresse. Die zumindest vorübergehende Speicherung der IP-Adresse ist technisch erforderlich, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Unsere Server speichern Ihre IP-Adresse außerdem für 7 Tage zu eigenen Sicherheitszwecken.

Bei Verarbeitungsvorgängen, die von keiner oder mehreren der vorgenannten Rechtsgrundlagen erfasst werden, erfolgt die Verarbeitung, wenn sie zur Wahrung eines berechtigten Interesses erforderlich ist und aufgrund einer umfassenden Interessensabwägung Ihre Interessen, Grundrechte und Grundfreiheiten nicht überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Ein berechtigtes Interesse ist anzunehmen, wenn die betroffene Person ein Kunde des Verantwortlichen ist. Basiert die Verarbeitung personenbezogener Daten hierauf ist unser berechtigtes Interesse insbesondere die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner.

Unser berechtigtes Interesse zur Betrugsprävention, die Netz- und Informationssicherheit sowie die Zuverlässigkeit unserer Leistungserbringung bzw. unserer Produkte zu gewährleisten, dient ebenfalls als Rechtsgrundlage für die Verarbeitung bestimmter Daten.

Ein weiteres berechtigtes Interesse ist die Funktionalität der Unternehmensabläufe, aufgrund derer eine Verarbeitung zu internen Verwaltungszwecken (z. B. Adressmanagement / Rechnungslegung) erfolgt.

Der Verarbeitung aufgrund eines berechtigten Interesses können Sie jederzeit widersprechen (siehe Ziffer XIII.).

Für den Fall, dass die Daten zu einem anderen als bei der Datenerhebung angegebenen Zweck verarbeitet werden, erfolgt gemäß Art. 6 Abs. 4 DSGVO eine Kompatibilitätsprüfung. Eine Weiterverarbeitung ist dann nur zulässig, wenn der ursprüngliche Zweck mit dem neuen Zweck vereinbar oder aufgrund einer gesonderten Rechtsgrundlage erlaubt ist. Anerkannte kompatible Zwecke sind u. a. die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche sofern kein überwiegendes Interesse der betroffenen Person vorliegt. In diesem Fall werden wir Sie über die Zweckänderung informieren. Ist der neue Zweck nicht vereinbar mit dem bei Erhebung angegebenen Zweck, erfolgt eine neue Erhebung aufgrund einer neuen Rechtsgrundlage. Auch hier werden wir Sie über die Zweckänderung informieren.

nach oben

IX. Nutzungsdaten

Bei der Nutzung des SSO-Dienstes fallen stets einige Daten an, so genannte Nutzungsdaten. Zudem wird dem Nutzer bei seinem Login bei einem der angebundenen Onlineangebote für 24 Stunden bzw., wenn gewählt, auch für eine längere Zeit ein Identifikationsmerkmal zugewiesen. Dieses erlaubt es dem Nutzer, die Onlineangebote und die dortigen Angebote ohne zusätzliche Login-Vorgänge zu nutzen. Zudem informieren wir Sie in diesem Abschnitt über die gegebenenfalls eingebundene Webanalyse.

1. Logfiles

Wenn Sie sich über die dafür vorgesehenen Formulare registrieren oder später bei myPass anmelden, kommunizieren Sie über das Internet mit unserem myPass-Server. Die dabei aufgezeichneten Logfiles enthalten keine personenbezogenen Daten. Logfiles, die Zugriffe der Nutzer protokollieren, werden nach 7 Tagen gelöscht. In den der Fehleranalyse und -beseitigung dienenden Logfiles sind den Anschlüssen unserer Nutzer zu den betreffenden Zeitpunkt zugewiesene IP-Adressen lediglich gespeichert, um eben Störungsfälle bei der Erreichbarkeit unserer Server besser analysieren und beheben zu können.

2. Identifizierungs-Cookies

2.1

myPass verwendet Identifizierungs-Cookies. Bei Cookies handelt es sich um kleine Textdateien, die lokal in einer entsprechenden Datei auf Ihrem Endgerät gespeichert werden. Der Identifizierungs-Cookie dient so als Identifikationsmerkmal, das Ihnen weitere Login-Vorgänge auf den teilnehmenden Websites während der laufenden Session oder für längere Zeit (siehe dazu sogleich) erleichtert. myPass bietet ggf. teilweise auch eine automatische Log-on-Funktion an, die einen entsprechenden Identifizierungs-Cookie erfordert. Bei dieser Funktion sind Sie, wenn Sie ein Onlineangebot besuchen, sich nicht zuvor aktiv abgemeldet haben und einen gültigen Identifizierungs-Cookie besitzen, ohne weiteren Zwischenschritt angemeldet.

Der Identifizierungs-Cookie wird mit zwei unterschiedlichen Laufzeiten eingesetzt. Grundsätzlich hat er eine Laufzeit von 8 Stunden. Danach müssen Sie sich also, auch wenn Sie sich nicht ausgeloggt haben, wieder neu anmelden. Wenn Sie aber die „Eingeloggt bleiben“-Option auswählen, wird der Cookie als „permanenter“ Cookie gesetzt und bleibt für 365 Tage gültig. In diesem Fall bleiben Sie, wenn Sie den Cookie nicht löschen, für die Laufzeit des Cookies angemeldet. Mit der Abmeldung (Log-out) aus myPass wird der Identifizierungs-Cookie jedoch in beiden Fällen gelöscht.

Falls Sie die Verwendung von Cookies unterbinden wollen, besteht dazu bei Ihrem Browser die Möglichkeit, die Annahme und Speicherung neuer Cookies zu verhindern. Wie dies bei Ihrem Browser funktioniert, können Sie zum Beispiel im Rahmen der Hilfefunktion des Browsers erläutert finden. Wenn Sie Cookies durch die vorgenommenen Einstellungen im Browser automatisch ablehnen, können Sie die Funktionen von myPass jedoch nicht nutzen. Wenn Sie die gespeicherten Cookies nach jeder Session automatisch löschen, sind die Funktionen, die Cookies voraussetzen, danach nicht mehr verfügbar. Sie müssen sich also vor allem wieder neu anmelden, wenn Sie ein den Login voraussetzendes Onlineangebot nutzen möchten.

Nutzen Sie myPass über eine mobile App, so wird aus technischen Gründen (abhängig von der jeweiligen Plattform und der von dieser verwendeten Technologie) kein Cookie gesetzt, sondern ein Äquivalent (Token) zu dem beschriebenen Cookie, das den Authentifizierungszweck erfüllt. Entsprechendes kann für andere Endgeräte wie z.B. Fernseher gelten.

3. Webanalyse

Wir ermöglichen es den Diensteanbietern, von ihnen in den Onlineangeboten genutzte Webanalyse-Verfahren – konkret „Webtrekk“, „REM“ und „Tealium“ – auch auf von unseren Servern bereitgestellten Internetseiten und Templates einzubinden bzw. einbinden zu lassen. Diese Verfahren erfassen so genannte Nutzungsdaten, die entstehen, während der Nutzer im Zuge der Nutzung der Onlineangebote auch unsere Seiten besucht bzw. Templates ausfüllt (z.B. bei der Registrierung und Anmeldung für bzw. in der SSO).

Über Einzelheiten zur Datenerhebung und Verarbeitung im Zusammenhang mit den genannten Webanalyse-Verfahren sowie über das Ihnen zustehende Widerspruchsrecht gegen den Einsatz dieser Verfahren informiert Sie das jeweilige Onlineangebot, das den Einsatz der Verfahren verantwortet.

Auf der Grundlage der erfassten Nutzungsdaten erstellen wir zudem aggregierte statistische Informationen über die Nutzung von myPass und der Onlineangebote insgesamt. Dabei sind zwar die Informationen inhaltlich und bezogen auf das einzelne Onlineangebot weitestmöglich detailliert. Jedoch gibt es keinerlei Bezug auf den einzelnen Nutzer. Die entstandenen Analysen stellen wir den Diensteanbietern als Reports zur Verfügung.

nach oben

X. Datenübermittlung an Dritte

1. Datenübermittlung an Diensteanbieter

1.1.

Die Diensteanbieter sind mit ihren myPass nutzenden Onlineangeboten neben der inhaltlichen und technischen Unabhängigkeit auch rechtlich von uns als Anbieter von myPass unabhängig. Die Diensteanbieter sind daher „Dritte“ im Sinne der DSGVO und als solche für ihre eigene Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten als verantwortliche Stelle selbst verantwortlich.

Dies gilt nicht nur in Bezug auf die jeweils eigene Verarbeitung personenbezogener Daten, sondern auch hinsichtlich der Verarbeitung und Nutzung von in myPass hinterlegten und an den Diensteanbieter nach diesen Datenschutzbestimmungen übermittelten bzw. den Diensteanbietern verfügbar gemachten Daten. Über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch einen Diensteanbieter werden Sie auch aus diesem Grund durch das jeweilige Onlineangebot auf dessen Website separat informiert.

1.2.

Wir übermitteln an die Diensteanbieter je nach Onlineangebot und Nutzungserfordernis bestimmte Ihrer in myPass hinterlegten Daten, wie dies oben in dieser Datenschutzerklärung beschrieben ist. Dies geschieht teilweise durch Übermittlung aus myPass, teilweise indem wir den Diensteanbietern über eine Schnittstelle den Zugriff auf hinterlegte Daten gestatten (vgl. oben Ziffern VI. und X.).

1.3

Wird die Vereinbarung zur Nutzung von myPass beendet (vgl. Ziffer 7 der Allgemeinen Nutzungsbedingungen), können Sie die über die Anmeldung mit myPass genutzten Onlineangebote auf dem bisherigen Weg nicht weiter nutzen. Wenn bei den Onlineangeboten die Möglichkeit zur Übermittlung der Daten aus myPass besteht, die für die weitere Erfüllung der von Ihnen in einem oder mehreren der Onlineangebote geschlossenen Verträge über von den Diensteanbietern angebotene Anmeldeprozesse erforderlich sind, informieren wir Sie.

2. Weitergabe Ihrer Daten an sonstige Dritte

Wir übermitteln Ihre personenbezogenen Daten nur dann an sonstige Dritte, wenn die Übermittlung erforderlich ist, um unsere vertraglichen Verpflichtungen Ihnen gegenüber zu erfüllen, wir zur Weitergabe in sonstiger Weise gesetzlich berechtigt oder verpflichtet sind oder Sie uns eine entsprechende Einwilligung erteilt haben.

In bestimmten Fällen setzen wir auch externe Dienstleister oder verbundene Unternehmen ein, die von uns beauftragt sind, Daten für uns weisungsgebunden zu verarbeiten. Solche Dienstleister werden von uns nach den strengen Vorgaben der DSGVO vertraglich als Auftragsverarbeiter verpflichtet und dürfen Ihre Daten zu keinen anderen Zwecken weiterverwenden. Von uns eingesetzte Auftragsverarbeiter erbringen für uns insbesondere technische Hosting-Leistungen (Website, Hard- und Software) und Supportleistungen. Die Weitergabe von Daten an Auftragsverarbeiter erfolgt auf Grundlage von Art. 28 Abs. 1 DSGVO, hilfsweise auf Grundlage unseres berechtigten Interesses an den mit dem Einsatz von spezialisierten Auftragsverarbeitern verbundenen wirtschaftlichen und technischen Vorteilen, Art. 6 Abs. 1 lit. f DSGVO.

Sofern wir gesetzlich dazu verpflichtet sind oder dies datenschutzrechtlich erlaubt ist, übermitteln wir personenbezogene Daten an Behörden, zum Beispiel die Polizei oder Staatsanwaltschaft (Art. 6 Abs. 1 lit. c DSGVO). Die Weitergabe dieser Daten erfolgt auf Grundlage unseres berechtigten Interesses an der Bekämpfung von Missbrauch, der Verfolgung von Straftaten und der Sicherung, Geltendmachung und Durchsetzung von Ansprüchen und dass Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten nicht überwiegen, Art. 6 Abs. 1 lit. f DSGVO.

nach oben

XI. Ort der Verarbeitung

Wir selbst übertragen Ihre personenbezogenen Daten nicht in Länder außerhalb des Europäischen Wirtschaftsraumes, außer in Fällen, in denen es nach der DSGVO zulässig ist. Ob Dritte, mit denen Sie eine eigene Vertragsbeziehung haben (wie z. B. mit Facebook, falls Sie einen Facebook-Account haben) Daten in Länder außerhalb des Europäischen Wirtschaftsraums übertragen, entzieht sich unserer Kenntnis und unserem Einfluss.

nach oben

XII. Speicherdauer

Wir speichern personenbezogene Daten nur solange wir dazu berechtigt sind und der Verarbeitungszweck nicht entfallen ist. Für die Dauer der Speicherung von personenbezogenen Daten gilt die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.

nach oben

XIII. Auskunft, Berichtigung, Löschung, Sperrung

Bitte wenden Sie sich bei Fragen und Anregungen zum Datenschutz sowie zur Durchsetzung Ihrer Rechte als betroffene Person jederzeit an unseren Datenschutzbeauftragten:

myPass GmbH
Datenschutz
Axel Springer Straße 65
10888 Berlin
datenschutz@mypass.de

Auskunft und Berichtigung

Sie können von uns jederzeit unentgeltlich Auskunft darüber erhalten, ob personenbezogene Daten zu Ihrer Person von uns verarbeitet werden und auch konkret welche Daten über sie gespeichert werden sowie eine Kopie der gespeicherten Daten verlangen. Sie können ferner unrichtige Daten berichtigen und vervollständigen lassen.

Löschung, Einschränkung und das Recht auf Vergessenwerden

Sie können die Löschung und Einschränkung Ihrer personenbezogenen Daten verlangen. Bitte beachten Sie, dass es z. B. für entgeltliche Verträge wie dem Kauf eines Abonnements von myPass gesetzliche Aufbewahrungspflichten gibt und wir daher Ihre Daten nicht in jedem Fall vollständig löschen dürfen. In diesem Fall werden Ihre Daten mit dem Ziel markiert, ihre künftige Verarbeitung einzuschränken.

Datenübertragbarkeit

Sofern anwendbar haben Sie außerdem das Recht, dass die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format an Sie oder einen anderen Verantwortlichen übermittelt werden, sofern die Verarbeitung auf der Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. Dies gilt jedoch nicht, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde. Ferner haben Sie das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

Widerruf / Widerspruch

Ihre abgegebenen Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft unter der. o. g. Kontaktadresse widerrufen. Ferner haben Sie das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund eines berechtigten oder öffentlichen Interesses erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sofern wir personenbezogene Daten verarbeiten, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung unter der. o. g. Kontaktadresse einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Zudem haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Sie betreffende Verarbeitung personenbezogener Daten, die bei uns zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

Beschwerderecht

Ferner haben Sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde sowie die Möglichkeit Rechtsbehelfe einzulegen. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs.

Bestehen einer automatisierten Entscheidungsfindung

Wir verzichten auf eine automatische Entscheidungsfindung oder ein Profiling.

nach oben

Stand: 2. November 2018