Datenschutzinformation

Vielen Dank für deinen Besuch auf unserer Website. Im Folgenden geben wir dir genaue Informationen darüber, wie wir deine Daten verwenden.

Verarbeitungstätigkeiten

  1. Online-Abrufbarhaltung von Informationen über das Unternehmen des Verantwortlichen und dessen Produkte für Interessenten und Kunden1 (derzeit abrufbar unter www.woombikes.com sowie den Social-Media-Kanälen des Verantwortlichen)
  2. Betrieb eines Online-Shops
  3. Betrieb eines Kundenclubs
  4. Verwaltung von Garantieverträgen mit Kunden

Verantwortlicher

woom GmbH
Inkustraße 1-7, Halle Nr. 14, Top 5, 3400 Klosterneuburg
Telefonnummer: +43 2243 23923
Email: woom@woombikes.com

Datenschutzkoordinatorin

Kristin Thomseth
privacy@woombikes.com

Zwecke der Datenverarbeitung

der Vertragserfüllung oder -vorbereitung

  1. Abrufbarhaltung von Informationen und Werbung über das Unternehmen des Verantwortlichen und dessen Waren und Services („Produkte“)
  2. Abrufbarhaltung des Online-Shops zum Erwerb von Produkten
  3. Betrieb des Kunden-Bindungsprogramms „upCycling“
  4. Betrieb des Kunden-Bindungsprogramms „woom Club“
  5. Erhöhung der Kundenbindung durch Veranstaltung von Gewinnspielen, Events und Kundenbefragungen;
  6. Verwaltung der vertraglichen Beziehungen mit dem Kunden aus Garantieverträgen, Abwicklung von Garantiefällen
  7. Bereitstellung von Kommunikationskanälen zur Verbreitung der Inhalte und Servicierung des Kundenverhältnisses

des (überwiegenden) berechtigten Interesses:

  1. Verbreitung/Ausspielung von (auch werbenden) Informationen für Services und Veranstaltungen im Wege der Direktwerbung („Marketingzwecke“), soweit gesetzlich zulässig
  2. Erhaltung und Erhöhung der Kundenzufriedenheit und der Kundenbindung durch Analyse des Nutzungsverhaltens mit dem Ziel der Verbesserung des Serviceangebotes, dies unter Einsatz von Google Analytics und Google Data Studio
  3. Bereitstellung von (auch werbenden) Newslettern an Kunden auf der gesetzlichen Grundlage des § 107 Abs 3 TKG mit jederzeitiger Opt-out-Möglichkeit
  4. Übermittlung von elektronischen Identifikationsdaten des Nutzers an Drittanbieter, um Inhalte durch Beiträge in sozialen Netzwerken (z. B. youTube) und anderen Applikationen (z. B. Google Maps) einzubinden.
  5. Übermittlung von elektronischen Identifikationsdaten des Nutzers über das Facebook-Pixel an die Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, auch zum Zwecke des Retargeting
  6. Übermittlung von elektronischen Identifikationsdaten des Nutzers an Microsoft Corporation, One Microsoft Way, Redmond, WA 98052-6399, USA, auch zum Zwecke des Retargeting
  7. Übermittlung von elektronischen Identifikationsdaten des Nutzers an Google LLC, 1600 Amphitheatre Parkway Mountain View, CA 94043, USA, auch zum Zwecke des Retargeting
  8. Übermittlung von elektronischen Identifikationsdaten des Nutzers an „Instagram“, Betreiber: Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, auch zum Zwecke des Retargeting

der Einwilligung:

  1. Bereitstellung von (auch werbenden) Newslettern an Kunden aufgrund einer Einwilligung mit jederzeitiger Opt-out-Möglichkeit

Rechtsgrundlage der Datenverarbeitung

Vertragserfüllung

  1. Abrufbarhaltung Online: Die Inanspruchnahme der Online-Services des Verantwortlichen basiert auf einem Vertrag iSd Art 6 Abs 1 lit b DS-GVO2, durch eine  Registrierung entsteht ein Registrierungsverhältnis.
  2. Abschluss von Kaufverträgen: Im Falle des Erwerbs von Produkten des Verantwortlichen beruht die Datenverarbeitung auf der Rechtsgrundlage des Kaufvertrages.
  3. Betrieb von Kunden-Bindungsprogrammen: Im Falle des Beitritts zum Service „upCycling“ oder zum „woom Club“ beruht die Datenverarbeitung auf der Rechtsgrundlage des Dienstleistungsvertrages.
  4. Abschluss von Garantieverträgen: Die Produkte des Verantwortlichen werden teilweise mit Herstellergarantien ausgeliefert. Bei der Registrierung des Garantievertrages oder der Inanspruchnahme einer Garantie beruht die Datenverarbeitung auf dem Garantievertrag.

Zusatzservices: Einwilligung.

Für einzelne Services (z. B. Newsletter) holt der Verantwortliche ausdrücklich Einwilligungen vom Kunden ein. Diese Einwilligung kann jederzeit mit Wirkung für die Zukunft widerrufen werden.

Überwiegende berechtigte Interessen (siehe unten)

Beschreibung der (überwiegenden) berechtigten Interessen zu Zwecken  der IT-Sicherheit

Der Verantwortliche speichert die IP-Adressen von bloßen Besuchern der Website für die Dauer von 7 Tagen, um gezielte Angriffe in Form der Überlastung von Servern ( „Denial of service“-Angriffe) und andere Schädigungen der Systeme abwehren zu können. An dieser Datenverarbeitung zum Zwecke der Aufrechterhaltung der Funktionsfähigkeit seiner online bereitgestellten Dienste hat der Verantwortliche ein überwiegendes berechtigtes Interesse (Erwägungsgrund 49 der DSGVO).

Beschreibung der (überwiegenden) berechtigten Interessen zu Zwecken der Informationsverbreitung/Direktwerbung3

Der Verantwortliche verarbeitet die Kundendaten (nicht jedoch solche von Kindern oder besondere Kategorien von personenbezogenen Daten im Sinne des Art 9 DSGVO4 („sensible Daten“)) auch, um diese zu Zwecken der Direktwerbung für (weitere) Angebote des Verantwortlichen zu nutzen. Der Verantwortliche hat an der Verarbeitung personenbezogener Daten zum Zwecke der Direktwerbung ein berechtigtes Interesse (Erwägungsgrund 47, letzter Satz der DSGVO). Vorrangiges Ziel der Datenverarbeitung ist die Kundengewinnung. Dabei stützt sich der Verantwortliche auf seine konventions- und verfassungsrechtlich geschützte Erwerbsfreiheit (Art. 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) und auf die Rechte

  1. zur Übermittlung von postalischer Werbung;
  2. zur Übermittlung von elektronischer Post nach Einwilligung und gemäß § 107 Abs 3 TKG.

Bei der Nutzung dieser Daten hält der Verantwortliche die kommunikationsrechtlichen Vorgaben, insbesondere § 107 TKG, ein.

Beschreibung der (überwiegenden) berechtigten Interessen zu Zwecken am Retargeting

Facebook, Google und Microsoft nutzen die vom Verantwortlichen in seinen Services gesetzten „Pixel“, um am Gerät des Nutzers Cookies abzulegen und bestehende Cookies und andere Identifier auszulesen und das zum Identifier oder Nutzer angelegte Profil damit anzureichern. Der Verantwortliche hat auf diese von Facebook, Google und Microsoft erhobenen Daten keinen Zugriff, nutzt diese aber zur Ausspielung von Werbung an die Zielgruppe der Interessenten an den Produkten des Verantwortlichen.

Zweckänderung

Werbung: Der Verantwortliche informiert, dass er die personenbezogenen Daten des Kunden auch zu Zwecken der Informationsverbreitung/Direktwerbung und zu Zwecken des Retargeting verarbeitet. Damit will der Verantwortliche über eigene Produkte informieren und diese bewerben. Es besteht keine Unvereinbarkeit mit dem Zweck der ursprünglichen Datenerhebung. Der Kunde kann gegen die Verwendung seiner personenbezogenen Daten zu Zwecken der Direktwerbung jederzeit und ohne Angabe von Gründen Widerspruch einlegen.

Bewertungen von persönlichen Aspekten des Kunden („Profiling“)

Eine Bewertung von persönlichen Aspekten des Kunden findet nichtstatt.

Pflicht zur Bereitstellung von Daten

Den Kunden trifft bei der Nutzung der Services keine Pflicht zur Bereitstellung von Daten. Beim Kaufvorgang sind die für den Kaufvorgang erforderlichen Felder wahrheitsgemäß auszufüllen.

Automatisierte Entscheidungsfindung

Der Kunde unterliegt keiner automatisierten Entscheidung, die ihm gegenüber rechtliche Wirkung entfaltet.

Verarbeitete Datenarten

von Kunden bekannt gegeben

  • Name(n) /Firma
  • E-Mail-Adresse
  • Adresse
  • Geburtsdatum
  • Bank-, Zahlungs- und Kreditkartendaten, Gutscheindaten
  • Telefon- und Telefaxnummer
  • Passwort (verschlüsselt)
  • UID-Nummer
  • Benutzername
  • Bestelldaten
  • Rückvergütungen
  • Warenrücksendungen
  • Merkliste
  • Inhalte von Nachrichten oder Bewertungen des Kunden
  • Angaben zum Kind: Vor-/Nachname, Geburtsdatum, Geschlecht
  • Rahmennummer
  • Angaben zum Verkäufer
  • persönliche Angaben zur Radnutzung

vom Verantwortlichen zusätzlich erhoben

  • IP-Adressen (Logfiles)
  • User-ID, Push-ID, Device-ID
  • verwendeter Browser
  • verwendetes Gerät
  • Kommunikationsprotokoll
  • Informationen zur Kontonutzung (z. B. Erstelldatum, Anzahl Logins, Datum der letzten Anfrage)
  • Informationen zu den gekauften Produkten
  • Verhaltensdaten des Nutzers (View, Fav, Rate, Add to Cart, Buy)

Datenquellen (soweit nicht vom Kunden bekannt gegeben oder vom Verantwortlichen erhoben)

Quelle Datenarten
E-Mail-Versand: “Mailchimp”: The Rocket Science Group, LLC, 675 Ponce de Leon Ave NE, Suite 5000, Atlanta, GA 30308 USA https://mailchimp.com/legal/privacy/ IP-Standort, bevorzugter E-Mail-Client, Quelle der Anmeldung, Kampagnendetails (Empfang, Öffnung, Klick)
Kundenumfragen: SurveyMonkey Europe UC, 2nd Floor, Shelbbourne Building, 2 Shelbourne Road, Dublin, Irland. https://de.surveymonkey.com/mp/legal/privacy-policy/ Angaben aus Befragungen

Externe Empfänger von Daten

Einbindung von Services von Drittanbietern in die Plattform: Übermittlung von elektronischen Identifikationsdaten, insbesondere IP-Adresse:

Auftragsdatenverarbeiter

Der Verantwortliche behält sich den Einsatz weiterer Auftragsdatenverarbeiter ausdrücklich vor. Diese werden sodann in der auf den Einsatzbeginn folgenden Aktualisierung der Datenschutzinformation ausgewiesen. Diese Datenverarbeitungen der Auftragsdatenverarbeiter finden unter der Verantwortung des Verantwortlichen statt.

Interne Empfänger

  • Systemadministrator
  • Fachabteilung
  • Geschäftsführung

Drittstaatstransfer

Folgende Daten werden im Zuge der Datenverarbeitung an Staaten außerhalb der EU übermittelt:

Land Anwendung Datenarten
USA Google (EU-US- Privacy-Shield) IP-Adresse, Websitetitel, browserspezifische Informationen, Informationen über die Website-Nutzung
USA Mailchimp (EU-US-Privacy-Shield) E-Mail-Adresse, Name
USA Hubspot (EU-US-Privacy-Shield) Kundendaten, Vertragsdaten

Auftritte in Social-Media-Kanälen

Der Verantwortliche informiert, dass er zu Zwecken der Werbung und der Kommunikation mit den Kunden in Social-Media-Kanälen eigenständige Online-Auftritte abrufbar hält. Bei diesen Online-Auftritten können die Daten des Kunden außerhalb der Europäischen Union verarbeitet werden, wodurch ein erhöhtes Risiko für Verletzung des Datenschutzes besteht. Die Betreiber der Social-Media-Kanäle haben sich, soweit sie in den USA ansässig sind, größtenteils dem EU-US-Privacy-Shield unterstellt.
Diese Online-Auftritte werden in der technischen Umgebung des jeweiligen Social-Media-Betreibers abrufbar gehalten. Die Social-Media-Betreiber nutzen den Besuch des Online-Auftritts durch den Kunden sodann für eigene Zwecke, insbesondere um (interessensbasierte) Werbung auszuspielen. Die Social-Media-Betreiber nutzen den Besuch, um „Cookies“ am Endgerät des Kunden abzulegen, bereits vorhandene Cookies und Identifier auszulesen, aus dem Nutzungsverhalten auf Interessen des Kunden zu schließen und damit das zum Kunden oder Identifier angelegte Nutzungsprofil anzureichern. Ziel ist dabei die Ausspielung von interessensbasierter Werbung an den Kunden, die auch auf später besuchten Websites dritter Anbieter erfolgen kann.
Die Verarbeitung der personenbezogenen Daten des Kunden erfolgt aufgrund der überwiegenden berechtigten Interessen des Verantwortlichen an den Werbemaßnahmen und der Kundenkommunikation, die durch die Erwerbsfreiheit (Art 6 StGG) und Kommunikationsfreiheit (ins. Art 10 EMRK, der auch Werbemaßnahmen schützt) konventions- und verfassungsrechtlich geschützt ist. Sind die Kunden Nutzer der Social-Media-Kanäle, so kann die Datenverarbeitung auch durch die Einwilligung des Kunden abgedeckt sein.
Der Verantwortliche informiert, dass er auf die Daten des Kunden keinerlei Zugriff hat. Der Verantwortliche empfiehlt daher dem Kunden, sich im Falle der Geltendmachung seiner Rechte auf Auskunft, Berichtigung, Löschung, Einschränkung, Widerspruch und Datenübertragbarkeit direkt an den jeweiligen Social-Media-Kanal zu wenden. Die Nutzer von Social-Media-Kanälen können auch selbst im Bereich ihrer Datenschutzeinstellungen Änderungen vornehmen. Der Verantwortliche unterstützt den Kunden dabei, sollte das erforderlich sein.
Weitergehende Informationen findet der Kunde unter:
Facebook (Facebook Ireland Ltd., 4 Grand Canal Square, Grand Canal Harbour, Dublin 2, Irland)
Datenschutzerklärung: https://www.facebook.com/about/privacy/
Opt-Out: https://www.facebook.com/settings?tab=ads und http://www.youronlinechoices.com
Instagram (Instagram Inc., 1601 Willow Road, Menlo Park, CA, 94025, USA)
Datenschutzerklärung/Opt-Out: http://instagram.com/about/legal/privacy/
Twitter (Twitter Inc., 1355 Market Street, Suite 900, San Francisco, CA 94103, USA)
Datenschutzerklärung: https://twitter.com/de/privacy
Opt-Out: https://twitter.com/personalization

Speicherdauer

Nicht registrierte Kunden: Die personenbezogenen Daten (insb. IP-Adresse) von (nicht registrierten) Website-Besuchern werden zum Zweck der IT-Sicherheit 7 Tage gespeichert und danach gelöscht.

Rechtsgrundlage Vertragsbeziehung: Die Daten werden vom Verantwortlichen auf Grund der oben genannten Rechtsgrundlage grundsätzlich bis 40 Monate nach Vertragsbeendigung (= 36 Monate mögliche vertragliche Schadensersatzansprüche + max. 4 Monate Zustelldauer einer Klage) personenbezogen verarbeitet und danach (jedenfalls der Personenbezug) gelöscht.

Rechtsgrundlage gesetzliche Verpflichtung: Soweit eine gesetzliche Verpflichtung zur Aufbewahrung von Daten, insbesondere gemäß § 132 Abs 1 BAO, besteht, erfolgt eine personenbezogene Datenverarbeitung von abrechnungsrelevanten Daten jedenfalls noch bis zum Ende der gesetzlichen Aufbewahrungspflicht (derzeit grundsätzlich 7 Jahre nach dem Ende des Geschäftsjahres des Anfalls).

Rechte des Betroffenen

Grundlage Inhalt
Art 15 DSGVO „Auskunft“ Der Kunde hat das Recht, Auskunft darüber zu verlangen, ob und in welchem Umfang personenbezogene Daten von ihm verarbeitet werden.
Art 16 DSGVO „Berichtigung“ Der Kunde hat das Recht, unverzüglich die Berichtigung unrichtiger personenbezogener Daten oder deren Vervollständigung zu verlangen.
Art 17 DSGVO „Löschung“ Der Kunde hat das Recht, zu verlangen, dass die personenbezogenen Daten unverzüglich gelöscht werden, sofern die in Art 17 Abs 1 DSGVO genannten Gründe erfüllt sind.
Art 18 DSGVO „Einschränkung“ Der Kunde hat das Recht, zu verlangen, dass die Verarbeitung der personenbezogenen Daten eingeschränkt wird, sofern die in Art 18 Abs 1 DSGVO genannten Gründe erfüllt sind.
Art 21 DSGVO „Widerspruch“ Der Kunde hat das Recht, gegen die Verarbeitung seiner personenbezogenen Daten auf der Grundlage des überwiegenden berechtigten Interesses Widerspruch einzulegen.
Art 20 DSGVO „Datenübertragbarkeit“ Der Kunde hat das Recht, seine bekannt gegebenen personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten.

Beschwerderecht

Grundlage Inhalt
Art 77 DSGVO
§ 24 DSG
Jeder Kunde hat das Recht auf Beschwerde bei der Aufsichtsbehörde, wenn er der Ansicht ist, dass die Verarbeitung der ihn betreffenden personenbezogenen Daten gegen diese Verordnung verstößt.

Aufsichtsbehörde

Österreichische Datenschutzbehörde
Barichgasse 40-42
A-1030 Wien
Telefon: +43 1 52 152-0
E-Mail: dsb@dsb.gv.at

Fußnoten

  1. Sollten in dieser Datenschutzinformation auf natürliche Personen bezogene Bezeichnungen nur in männlicher Form angeführt sein, beziehen sie sich auf Frauen und Männer in gleicher Weise. Bei der Anwendung der Bezeichnung auf bestimmte natürliche Personen ist die jeweils geschlechtsspezifische Form zu verwenden. Unter Kunden werden sowohl Konsumenten (Verbraucher), als auch Unternehmer verstanden.
  2. Kühling/Buchner DS-GVO2, Art 6 Rz 59
  3. Direktwerbung ist die unmittelbare Ansprache der betroffenen Person zu Werbezwecken, etwa zur Zusendung von Briefen oder Prospekten, durch Telefonanrufe oder elektronische Nachrichten.
  4. Datenschutzgrundverordnung, abrufbar unter https://eur-lex.europa.eu/legal-content/DE/TXT/?uri=CELEX%3A32016R0679