Datenschutzerklärung

Diese Datenschutzerklärung erläutert, wie Startwitus Limited, firmierend unter TieBack, ein in England, Vereinigtes Königreich, eingetragenes Unternehmen mit der Registrierungsnummer 16316535 und Sitz in 3rd Floor, 86-90 Paul Street, London, England, Vereinigtes Königreich, EC2A 4NE („TieBack“, „wir“, „uns“ oder „unser“), personenbezogene Daten erhebt, nutzt, weitergibt, speichert und schützt, wenn Sie Folgendes nutzen:

• die Website unter https://tieback.io sowie alle zugehörigen Subdomains, Seiten und Portale;
• die Plattform TieBack, Dashboards, APIs und Dokumentation;
• Produktpass-Seiten und für Verbraucher bestimmte Produktidentitätserlebnisse, die über TieBack für unsere Geschäftskunden bereitgestellt werden; sowie
• sowie jeglicher damit verbundene Support, jegliche Kommunikation und jegliche Dienstleistungen.

Diese Richtlinie ist in erster Linie für ein Business-to-Business-Dienstleistungsmodell vorgesehen. TieBack schließt Verträge mit Unternehmen ab, nicht mit einzelnen Verbrauchern. Einige Teile der Dienste beinhalten jedoch die Verarbeitung personenbezogener Daten von Einzelpersonen, darunter Website-Besucher, Nutzer von kundenspezifisch konfigurierten Passfunktionen sowie Personen, die mit den Seiten des digitalen Produktpasses interagieren.

1. Über uns

Übersicht über die für die Datenverarbeitung Verantwortlichen und Auftragsverarbeiter

TieBack kann entweder als

• ein unabhängiger Datenverantwortlicher; oder
• ein Auftragsverarbeiter (oder Dienstleister), der im Auftrag eines Geschäftskunden von „TieBack“ handelt,

je nach Kontext.

A. In welchen Fällen fungiert „TieBack“ als Verantwortlicher

Wir agieren in der Regel als unabhängiger Verantwortlicher für:

• unsere öffentliche Website und unsere Kontaktformulare für Unternehmen;
• die Kontoverwaltung für unsere Geschäftskunden und deren autorisierte Nutzer;
• Beschaffung, Support, Abrechnung, Sicherheit und betriebliche Kommunikation;
• Plattformsicherheit, Betrugsbekämpfung, Missbrauchserkennung und Dienstleistungsanalysen; sowie
• begrenzte Scan- und Telemetriedaten, die wir zum Schutz der Integrität der Dienste und zur Überprüfung von Produktidentitätsinteraktionen verwenden.

B. Wenn eine Marke/ein Kunde als Verantwortlicher auftritt

Wenn ein Geschäftskunde von TieBack unsere Dienste nutzt, um Produktpass-Inhalte zu präsentieren, Produktinteraktionen zu überprüfen, Eigentumsfunktionen zu betreiben oder kundenorientierte Lebenszyklus-Workflows zu verwalten, ist dieser Geschäftskunde in der Regel der Verantwortliche für die personenbezogenen Daten, die im Rahmen dieser Workflows verarbeitet werden. In diesen Fällen fungiert TieBack als Auftragsverarbeiter oder Dienstleister im Auftrag des Kunden, es sei denn, wir verwenden begrenzte technische Telemetriedaten für unsere eigenen Sicherheits- und Betrugsbekämpfungszwecke.

Wenn Sie sich nicht sicher sind, ob TieBack oder eine Marke der zuständige Verantwortliche für eine bestimmte Interaktion ist, können Sie uns über die unten angegebenen Kontaktdaten erreichen, und wir helfen Ihnen gerne weiter.

2. Welche personenbezogenen Daten wir erheben

Welche Kategorien personenbezogener Daten wir erheben, hängt davon ab, wie die Dienste genutzt werden.

A. Daten zur Website und zu geschäftlichen Kontakten

Wenn Sie unsere Website besuchen oder uns kontaktieren, erfassen wir möglicherweise:

• Name;
• E-Mail-Adresse am Arbeitsplatz;
• Firmenname;
• Berufsbezeichnung;
• Telefonnummer;
• Anfragedetails;
• Korrespondenz mit dem Support oder der Beschaffungsabteilung; und
• grundlegende technische Daten wie IP-Adresse, Browsertyp, Gerätetyp, verweisende URL und Zugriffszeitstempel.

B. Daten zu Plattformkonten und autorisierten Benutzern

Für Kundenorganisationen und deren autorisierte Benutzer erfassen wir möglicherweise:

• Anmelde- und Profilinformationen;
• Informationen zu Organisation und Rolle;
• Zugriffsprotokolle, Authentifizierungsereignisse und Sicherheitsereignisse;
• Supportanfragen und administrative Maßnahmen; sowie
• Nutzungsdaten im Zusammenhang mit dem Betrieb der Plattform.

C. Telemetriedaten zum Scannen und zur Überprüfung von Produktpässen

Wenn eine Person eine Produktpass-Seite aufruft oder mit einem Produktidentitäts-Endpunkt interagiert, erfassen wir möglicherweise technische Interaktionsdaten wie:

• IP-Adresse;
• Gerätekennungen oder Geräte-Fingerabdrücke;
• Details zu Browser und Betriebssystem;
• ungefährer Standort, abgeleitet aus der IP-Adresse;
• Zeitstempel;
• Häufigkeit des Aufrufs/Anzeigens und Interaktionsverlauf;
• Referrer-Daten, sofern verfügbar; und
• Signale zur Betrugs- und Missbrauchsbekämpfung sowie zur Produktüberprüfung.

Wir verwenden diese Daten zur Betrugsbekämpfung, zur Überprüfung der Produktidentität, zur Analyse der Website-/Dienstnutzung und zur Plattformsicherheit. Wir können relevante Scan- und Verifizierungsdaten zu denselben Zwecken auch dem jeweiligen Markenkunden zur Verfügung stellen.

D. Funktionen zu Eigentumsrechten, Wallets und Aufbewahrung

Wenn ein Nutzer sich dafür entscheidet, eine Eigentumsfunktion zu nutzen, einen Produktpass aufzubewahren oder einen Pass in einer digitalen oder Smart-Wallet zu speichern, erfassen wir möglicherweise zusätzliche personenbezogene Daten wie:

• E-Mail-Adresse;
• Telefonnummer;
• gerätegebundene Identifikatoren;
• mit der Wallet verbundene Daten oder Wallet-Pass-Identifikatoren;
• Informationen zum Eigentums- oder Anspruchsstatus; und
• alle sonstigen Informationen, die der Nutzer freiwillig übermittelt, um diese Funktion zu aktivieren.

Wir speichern diese Daten sicher und bewahren sie so lange auf, wie der betreffende Nutzer diesen Pass oder diese Funktionszuordnung beibehält, es sei denn, die Daten werden gemäß der Kundenkonfiguration, gesetzlichen Anforderungen oder einer gültigen Löschanforderung früher gelöscht.

E. Daten, die wir von unseren Geschäftskunden erhalten

Unsere Kunden stellen uns unter Umständen produkt-, nutzer- oder arbeitsablaufbezogene Daten zur Verfügung, damit wir die Dienste für sie betreiben können. In diesen Fällen ist der Kunde in der Regel dafür verantwortlich, zu bestimmen, welche personenbezogenen Daten erfasst werden und zu welchem Zweck dies geschieht, und TieBack verarbeitet diese Daten im Auftrag des Kunden, sofern nicht anders angegeben.

3. Wie wir personenbezogene Daten erheben

Wir können personenbezogene Daten erfassen:

• direkt von Ihnen, wenn Sie uns kontaktieren, Zugriff beantragen, ein Konto erstellen oder nutzen oder eine Eigentums- oder Wallet-Funktion verwenden;
• automatisch, wenn Sie unsere Website, Plattform oder Produktpass-Seiten nutzen;
• von unseren Kunden, wenn diese unsere Dienste konfigurieren und nutzen;
• von Geräten und Browsern, die mit Produktidentitätsseiten interagieren; und
• von Dienstleistern, Integrationen oder Dritten, sofern dies gesetzlich zulässig und für den Betrieb der Dienste erforderlich ist.

4. Zwecke der Verarbeitung und Rechtsgrundlagen

Wir verarbeiten personenbezogene Daten zu den folgenden Zwecken und stützen uns dabei auf eine oder mehrere Rechtsgrundlagen gemäß dem britischen Datenschutzgesetz von 2018 (UK GDPR) und, soweit anwendbar, der EU-Datenschutz-Grundverordnung (EU GDPR):

A. Zur Bereitstellung und zum Betrieb der Dienste

Einschließlich:

• Bereitstellung des Zugangs zur Plattform und zur Dokumentation;
• Bereitstellung von Produktpass-Seiten;
• Unterstützung von Workflows zur Produktidentifizierung und -überprüfung;
• Aktivierung von Funktionen für Eigentumsverhältnisse, Nachbetreuung und Lebenszyklus, sofern konfiguriert; und
• Pflege von Konten und Kundenverwaltung.

Rechtsgrundlage: Erfüllung eines Vertrags und/oder berechtigte Interessen am Betrieb und an der Verbesserung unserer Business-to-Business-Dienstleistungen.

B. Zur Sicherung der Dienste und zur Verhinderung von Betrug oder Missbrauch

Einschließlich:

• Plattformsicherheit;
• Ratenbegrenzung, Missbrauchs- und Anomalieerkennung;
• Verhinderung des Missbrauchs von Endpunkten zur Produktidentität;
• Überprüfung der Produktidentität und Betrugsbekämpfungsanalyse; sowie
• Untersuchung von Vorfällen.

Rechtsgrundlage: berechtigte Interessen an der Sicherung der Dienste, der Betrugsbekämpfung und dem Schutz unserer Kunden, Nutzer und Systeme.

C. Zur Unterstützung der Produktidentitätsprüfung und kundenspezifischer Arbeitsabläufe

Einschließlich:

• Bereitstellung von Scan- und Verifizierungsdaten für den jeweiligen Markenkunden;
• Unterstützung von vom Kunden konfigurierten Prozessen zur Betrugsbekämpfung, Vertrauenssicherung und Lebenszyklusverwaltung;
• Ermöglichung von vom Kunden konfigurierten Eigentums- oder Aufbewahrungsabläufen.

Rechtsgrundlage: berechtigte Interessen vonTieBack und des jeweiligen Kunden; und/oder Erfüllung eines Vertrags; und/oder Einwilligung, wenn eine Funktion optional ist und der Nutzer sich aktiv dafür entscheidet, Informationen zur Aktivierung dieser Funktion bereitzustellen.

D. Zur Kommunikation mit Kunden und potenziellen Kunden

Dazu gehören:

• Beantwortung von Anfragen;
• Abwicklung von Beschaffungen, Onboarding und Support;
• Versenden von dienstleistungsbezogenen Mitteilungen; und
• Abwicklung der Rechnungsstellung und Kontoverwaltung.

Rechtsgrundlage: Vertragserfüllung; berechtigte Interessen an der Pflege von Kundenbeziehungen; sowie Einwilligung, sofern diese für bestimmte Marketingmitteilungen erforderlich ist.

E. Zur Erfüllung gesetzlicher Verpflichtungen

Dazu gehören:

• Beantwortung rechtmäßiger Anfragen;
• Aufbewahrung von Unterlagen;
• Durchsetzung von Rechten; und
• Einhaltung von steuer-, buchhaltungs-, sanktions-, exportkontroll- oder aufsichtsrechtlichen Anforderungen.

Rechtsgrundlage: Erfüllung einer rechtlichen Verpflichtung und/oder berechtigte Interessen am Schutz unserer Rechte und unserer Rechtsposition.

5. Wie wir personenbezogene Daten weitergeben

Wir verkaufen keine personenbezogenen Daten.

Wir können personenbezogene Daten weitergeben an:

A. Kunden der betreffenden Marke

Wenn Scan-, Verifizierungs-, Eigentums- oder Lebenszyklusfunktionen im Auftrag eines Kunden genutzt werden, können wir relevante Daten an diesen Kunden weitergeben, um:

• Betrugsbekämpfung;
• die Überprüfung der Produktidentität;
• vom Kunden konfigurierte Workflows zu Eigentumsverhältnissen und Lebenszyklen;
• Support und Betriebsanalyse; sowie
• damit verbundene legitime Zwecke des Produkt- und Markenmanagements.

B. Dienstleister und Unterauftragsverarbeiter

Einschließlich Anbieter von:

• Hosting und Infrastruktur;
• Sicherheit und Überwachung;
• E-Mail und Kommunikation;
• Kundensupport;
• Analytik;
• Wallet-/Pass-Bereitstellung oder zugehörige Infrastruktur; und
• professionelle Dienstleistungen.

Diese Anbieter verarbeiten personenbezogene Daten im Rahmen eines Vertrags und nur insoweit, wie dies für die jeweiligen Dienstleistungen erforderlich ist.

C. Fachberater und Behörden

Wir können Daten an Rechtsanwälte, Wirtschaftsprüfer, Versicherer, Aufsichtsbehörden, Strafverfolgungsbehörden, Gerichte oder andere Behörden weitergeben, sofern dies erforderlich ist, um:

• Gesetze einzuhalten;
• auf gerichtliche Verfahren zu reagieren;
• Rechtsansprüche geltend zu machen, auszuüben oder zu verteidigen; oder
• die Rechte, die Sicherheit oder den Schutz von TieBack, unseren Kunden, Nutzern oder anderen zu gewährleisten.

D. Unternehmenstransaktionen

Sollte „TieBack“ an einer Fusion, einer Übernahme, einer Finanzierung, einer Umstrukturierung oder einem Verkauf des gesamten oder eines Teils seines Geschäfts beteiligt sein, können personenbezogene Daten im Rahmen dieser Transaktion offengelegt werden, vorbehaltlich angemessener Vertraulichkeits- und rechtlicher Schutzvorkehrungen.

6. Aufbewahrung

Wir speichern personenbezogene Daten nur so lange, wie es für die in dieser Richtlinie beschriebenen Zwecke erforderlich ist, es sei denn, eine längere Aufbewahrungsfrist ist gesetzlich vorgeschrieben oder zum Schutz rechtlicher Ansprüche erforderlich.

Unser derzeitiger grundlegender Ansatz zur Aufbewahrung lautet:

A. Scan-/Verifizierungsdaten

Personenbezogene Daten, die erfasst werden, wenn eine Person einen Produktpass oder eine Verifizierungsseite aufruft – einschließlich IP-Daten, gerätebezogener Kennungen und ähnlicher Telemetriedaten – werden bis zu 2 Jahre lang gespeichert und anschließend gelöscht oder unwiderruflich anonymisiert, es sei denn:

• eine kürzere Frist gesetzlich vorgeschrieben ist;
• eine längere Aufbewahrungsfrist für eine bestimmte Sicherheitsuntersuchung, einen Rechtsstreit oder eine Aufbewahrungspflicht erforderlich ist; oder
• die rechtmäßigen Anweisungen des Kunden etwas anderes vorschreiben, wenn „TieBack“ als Auftragsverarbeiter auftritt.

B. Daten zu Eigentums- und Wallet-Funktionen

Wenn Nutzer sich dafür entscheiden, eine Eigentumsfunktion zu nutzen, einen Pass zu behalten oder einen Pass in einer Wallet zu speichern, werden die zugehörigen personenbezogenen Daten so lange aufbewahrt, wie der Nutzer diesen Pass oder diese Funktionszuordnung beibehält, es sei denn:

• der Nutzer diese löscht;
• der betreffende Kunde die Löschung anordnet;
• das Konto oder der Dienst geschlossen wird; oder
• gesetzliche Aufbewahrungspflichten gelten.

C. Geschäftskontakt- und Kontodaten

Geschäftskontakt-, Support-, Onboarding-, Konto- und Vertragsdaten werden so lange aufbewahrt, wie dies zur Pflege der Geschäftsbeziehung und zur Erfüllung gesetzlicher, buchhalterischer, prüfungsrechtlicher und streitbeilegungsbezogener Verpflichtungen angemessen erforderlich ist.

D. Sicherungen und Protokolle

In Übereinstimmung mit unseren Verfahren für Datensicherung und Notfallwiederherstellung können für einen begrenzten Zeitraum Restkopien in Backups und Protokollen verbleiben; danach werden diese im Rahmen des normalen Betriebsablaufs gelöscht oder überschrieben.

7. Internationale Datenübermittlungen

Wir können personenbezogene Daten im Vereinigten Königreich, im EWR oder in anderen Ländern verarbeiten oder speichern, in denen wir oder unsere Dienstleister tätig sind.

Wenn personenbezogene Daten unter Umständen, die Schutzmaßnahmen erfordern, außerhalb des Vereinigten Königreichs oder des EWR übermittelt werden, stützen wir uns auf geeignete Übermittlungsmechanismen, wie Angemessenheitsverordnungen oder Angemessenheitsbeschlüsse, oder auf Standardvertragsklauseln, das britische Abkommen über internationale Datenübermittlungen (IDTA) oder den britischen Zusatz, je nach Anwendbarkeit.

8. Sicherheit

Wir wenden technische und organisatorische Maßnahmen an, um personenbezogene Daten vor versehentlicher oder unrechtmäßiger Zerstörung, Verlust, Veränderung, unbefugter Offenlegung oder unbefugtem Zugriff zu schützen.

Diese Maßnahmen können gegebenenfalls Folgendes umfassen:

• Zugangskontrollen und Berechtigungen nach dem Prinzip der geringsten Privilegien;
• Protokollierung und Überwachung;
• Verschlüsselung während der Übertragung und im Ruhezustand;
• sichere Entwicklungs- und Bereitstellungspraktiken;
• Aufbewahrungskontrollen; und
• Verfahren zur Reaktion auf Vorfälle.

9. Ihre Rechte

Wenn „TieBack“ als Verantwortlicher auftritt, haben betroffene Personen möglicherweise Rechte gemäß den geltenden Datenschutzgesetzen, darunter das Recht auf:

• Auskunft zu erhalten; auf personenbezogene Daten zuzugreifen; unrichtige Daten zu berichtigen; Daten unter bestimmten Umständen zu löschen; die Verarbeitung unter bestimmten Umständen einzuschränken; der Verarbeitung aufgrund berechtigter Interessen zu widersprechen; gegebenenfalls Datenübertragbarkeit zu beanspruchen; und die Einwilligung zu widerrufen, sofern die Einwilligung die Rechtsgrundlage bildet.

Wenn Sie diese Rechte ausüben möchten, kontaktieren Sie uns unter [email protected].

Wenn TieBack nur als Auftragsverarbeiter im Auftrag eines Markenkunden auftritt, sollten Sie Ihre Anfrage in der Regel an diese Marke/diesen Kunden als Verantwortlichen richten. TieBack wird den Kunden bei der Beantwortung unterstützen, sofern dies vertraglich oder gesetzlich vorgeschrieben ist.

Sie haben außerdem das Recht, eine Beschwerde beim britischen Information Commissioner’s Office (ICO) oder gegebenenfalls bei der zuständigen Aufsichtsbehörde in Ihrem Land einzureichen.

10. Cookies und ähnliche Technologien

Wir können auf unserer Website und in unseren Diensten Cookies und ähnliche Technologien verwenden. Dazu können gehören:

• unbedingt notwendige Cookies; Funktions-Cookies; Analyse-Cookies; sowie andere Technologien, die zur Sicherung, zum Betrieb und zur Verbesserung der Dienste eingesetzt werden.

Soweit gesetzlich vorgeschrieben, werden wir Ihre Einwilligung einholen, bevor wir nicht unbedingt erforderliche Cookies oder ähnliche Technologien setzen. Weitere Informationen finden Sie in unserer Cookie-Richtlinie.

11. Kinder

Die Dienste sind für den geschäftlichen Gebrauch bestimmt und richten sich nicht an Kinder. Wir erheben wissentlich keine personenbezogenen Daten von Kindern, es sei denn, die Daten werden über vom Kunden konfigurierte Workflows bereitgestellt und der betreffende Kunde ist für die Rechtsgrundlage und die für diese Verarbeitung erforderlichen Hinweise verantwortlich.

Wenn Sie der Ansicht sind, dass personenbezogene Daten eines Kindes über die Dienste unrechtmäßig erhoben wurden, kontaktieren Sie uns bitte.

12. Links und Dienste von Drittanbietern

Unsere Website, Produktpass-Seiten oder Dokumentationen können Links zu Websites, Tools oder Diensten von Dritten enthalten. Wir sind nicht für die Datenschutzpraktiken dieser Dritten verantwortlich und empfehlen Ihnen, deren Datenschutzerklärungen zu lesen.

13. Änderungen dieser Richtlinie

Wir können diese Datenschutzerklärung von Zeit zu Zeit aktualisieren, um Änderungen in folgenden Bereichen Rechnung zu tragen:

• den Diensten, unseren Verarbeitungsaktivitäten, den gesetzlichen Anforderungen oder unseren Geschäftsabläufen.

Wir werden die aktualisierte Version auf der Website veröffentlichen und das Datum unter „Zuletzt aktualisiert“ anpassen. Soweit gesetzlich vorgeschrieben, werden wir Sie zusätzlich darüber informieren.

14. Kontakt

Wenn Sie Fragen zu dieser Datenschutzerklärung oder unserem Umgang mit personenbezogenen Daten haben, wenden Sie sich bitte an: