Datenschutzerklärung für myPass

Wir freuen uns sehr über Ihr Interesse an myPass. Um myPass anbieten zu können, benötigen wir natürlich auch einige Daten über Sie. Dabei nehmen wir den Schutz personenbezogener Daten sehr ernst und verarbeiten diese stets im Einklang mit den anwendbaren datenschutzrechtlichen Bestimmungen, insbesondere der EU Datenschutz-Grundverordnung (DSGVO). Mit dieser Datenschutzerklärung möchten wir Sie vollumfänglich über Art, Umfang und Zweck der von uns verarbeiteten personenbezogenen Daten und Ihre Rechte als betroffene Person informieren.

Sie können sich diese Datenschutzerklärung hier herunterladen und speichern.

I. Verantwortlicher und allgemeine Hinweise

Ihre Daten werden durch die myPass GmbH, Axel Springer Straße 65, 10888 Berlin, Telefon: 030-2591-0, E-Mail: info@mypass.de verarbeitet (Diensteanbieter im Sinne des Telemediengesetzes (TMG) und Verantwortlicher im Sinne der Datenschutz-Grundverordnung (DSGVO)). Diese meinen wir auch, wenn wir Formulierungen wie "wir" oder "uns" benutzen. Unter "myPass" verstehen wir in diesem Dokument secure.mypass.de, www.mypass.de, secure.axelspringer.de. Einzelne Teile von myPass werden im Folgenden auch als "Onlinedienste" bezeichnet. Diese meinen wir auch, soweit nachfolgend von einer Website die Rede ist.

Unsere Services sind für die allgemeine Öffentlichkeit und nicht für Kinder gedacht. Wir erheben wissentlich keine personenbezogenen Daten von Nutzern, die gemäß der jeweiligen nationalen Gesetzgebung als Kinder gelten.

nach oben

II. myPass als Dienst

myPass ist ein Internetdienst, der verschiedene Leistungen beinhaltet: Neben seiner Single Sign-on-Komponente (siehe hierzu Ziffer III.) ist myPass ein Dienst, der

  • dem Nutzer den einfachen und direkten Zugang zu für ihn freigeschalteten Inhalten bei allen Diensten, Bereichen und Anwendungen auf allen Websites und Apps, die myPass verwenden (im Folgenden insgesamt „die Onlineangebote“ genannt), ermöglicht und
  • die Nutzung der teilnehmenden Onlineangebote in mancherlei Hinsicht generell komfortabler macht.

Dafür sind bei myPass für die Leistungen von myPass selbst, aber auch für die Onlineangebote, die myPass nutzen, bestimmte Daten einschließlich bestimmter personenbezogenen Daten zentral in einer Datenbank hinterlegt. Darüber, welche Daten wie gespeichert sind, sowie darüber, wer welche Daten wie und unter welchen Bedingungen abrufen kann, finden Sie nachfolgend umfassend Auskunft.

nach oben

III. Single Sign-on-Dienst: Was bedeutet das?

Single Sign-on bedeutet im Falle von myPass, dass Sie sich nach einer einmaligen Registrierung und Authentifizierung für alle teilnehmenden Onlineangebote mit einheitlichen Zugangsdaten anmelden (einloggen) können, ohne dass Sie dort jedes Mal erneut einen Registrierungsprozess durchlaufen müssen. Zudem erlaubt es myPass als Single Sign-on-Dienst, dass Sie nach einem Log-in insgesamt angemeldet bleiben und auf diesem Weg alle Onlineangebote (vorbehaltlich für den betreffenden Dienst erforderlicher weiterer Erklärungen) ohne weitere Anmeldevorgänge unmittelbar nutzen können. Sie besitzen also eine diensteübergreifende „Identität“, die von den Onlineangeboten, die Sie verwenden möchten, erkannt und verifiziert werden kann. Für die Onlineangebote und deren Inhalte sind ausschließlich die Unternehmen verantwortlich, die Ihnen gegenüber das jeweilige Onlineangebot offerieren (nachfolgend „Diensteanbieter“).

nach oben

IV. Das myPass-Benutzerkonto

Wir erheben, verarbeiten und nutzen personenbezogene Daten, wenn Sie sich für myPass registrieren, um ein Benutzerkonto zu eröffnen, wenn Sie später gegebenenfalls weitere Daten zu Ihrem Benutzerkonto hinzufügen und wenn Sie Ihre Zugangsdaten für die Anmeldung zu einem Onlineangebot verwenden.

1. Die Registrierung

1.1 Registrierung über ein Onlineangebot

Sie können über jedes Onlineangebot, das myPass verwendet, ein myPass-Benutzerkonto eröffnen. Entweder das jeweilige Onlineangebot hält hierfür ein eigenes, entsprechend gekennzeichnetes Formular bereit oder das Onlineangebot hat direkt ein Formular von myPass eingebunden.

Für eine Registrierung immer erforderlich ist die Angabe einer gültigen E-Mail-Adresse und eines Passworts (Webangebote und mobile Apps; zu TV Apps siehe sogleich). Diese Daten bilden später Ihre myPass-Zugangsdaten. Die E-Mail-Adresse kann danach von den Onlineangeboten zu den hier oder in der Datenschutzerklärung des jeweiligen Dienstes erläuterten Zwecken abgefragt werden. Das Passwort wird hingegen als Hash-Wert gespeichert. Bei TV Apps wird auf dem TV-Gerät eine PIN generiert, die Sie während ihrer Gültigkeit in Ihrem „Mein Konto“-Bereich über Ihren Computer oder über das von Ihnen genutzte mobile Endgeräte verknüpft mit einem zu vergebenden Namen für das TV-Gerät eingeben. Das TV-Gerät wird dann mit Ihrer SSO-ID verknüpft, die PIN verliert ihre Gültigkeit. Die Identifikation des TV-Geräts wird in der Folge über eine von der jeweiligen TV-App erzeugte Geräte-ID bewerkstelligt.

Ansonsten richten wir die Formulare der Onlineangebote zur Registrierung grundsätzlich an dem aus, was die betreffenden Diensteanbieter für die Erbringung der Leistungen der jeweiligen Onlineangebote benötigen. Aus diesem Grund genügt für das eine Onlineangebot, z.B. ein Browsergame, als weitere Angabe vielleicht ein Benutzername, während ein anderes Onlineangebot, zum Beispiel ein Internet-Shop, Sie auch nach Ihrem bürgerlichen Namen und Ihrer Anschrift fragen wird. Ein Onlineangebot bzw. der Diensteanbieter kann im Zusammenhang mit der Registrierung auch weitere Daten als Pflichtfeld oder als freiwillige Zusatzangabe vorgeben. Diese Daten werden dann ebenfalls erhoben und Teil des Stammdatensatzes (zu diesem siehe unten Ziffer 2).

Nach Empfang der Daten vergeben wir für Sie eine SSO-ID (Benutzernummer) und senden Ihnen eine E-Mail, damit Sie Ihre E-Mail-Adresse bestätigen können. Der Link in der E-Mail enthält dabei nicht die Mailadresse in Klarschrift, sondern nur einen zufällig generierten so genannten Token mit einer begrenzten zeitlichen Gültigkeit. Haben wir die Bestätigung erhalten und liegen keine besonderen Umstände vor, schalten wir Ihr myPass-Benutzerkonto frei und leiten Sie, nachdem wir einen Cookie bzw. ein entsprechendes Token gesetzt haben (zu beidem eingehender siehe Ziffer IX. 2.), als registrierten Nutzer zum Onlineangebot zurück. Sie können sich nun dort ebenso wie bei den anderen Onlineangeboten mit Ihren myPass-Zugangsdaten anmelden. Alternativ kann Ihnen das jeweilige Onlineangebot aber auch gestatten, unmittelbar mit der Nutzung fortzufahren, also ohne, dass Sie die E-Mail-Adresse bereits bestätigt haben. In solchen Fällen werden Cookie und bzw. Token gesetzt und die Bestätigung der E-Mail-Adresse muss lediglich vor dem nächsten Log-in erfolgen bzw. bevor Sie bei anderen Onlineangeboten Leistungen in Anspruch nehmen können.

1.2 Registrierung über bestehende Social Media-Accounts oder andere Log-In / Identitätsdienste

Wir bieten Ihnen auch eine Registrierung und Anmeldung bei myPass mithilfe eines Social Media-Accounts oder anderen Log-In / Identitätsdienstes an, wenn Sie über einen solchen verfügen ( z.B. „Mit Facebook anmelden“). Sie können auf diesem Weg bestimmte Ihrer Angaben aus Ihrem bestehenden Account heranziehen und damit einmalig Ihr Benutzerkonto für myPass befüllen. Zudem können Sie sich danach stets über das soziale Netzwerk (oder den Log-In Dienst / Identitätsdienst) bei myPass anmelden und Funktionen des sozialen Netzwerks (oder des Log-In Dienstes / Identitätsdienstes) auch in dem betreffenden Onlineangebot nutzen.

„Mit Facebook anmelden“ ist ein Dienst von Facebook. Dem entsprechend gelten für ihn die Datenschutzbedingungen und Nutzungsbedingungen von Facebook. Neben den Informationen, die Sie in den Datenschutzbedingungen von Facebook finden, werden Sie im Zuge des Registrierungs- bzw. Anmeldevorgangs für myPass darüber informiert, auf welche Daten Facebook dem Onlineangebot ggf. den Zugriff ermöglicht, und Sie werden gebeten, Ihre entsprechende Zustimmung zu erteilen. Die Zugangsdaten für Ihren Facebook-Account erfahren wir oder das Onlineangebot dabei nie.

Um Ihr Benutzerkonto für myPass anzulegen, benötigen wir davon unabhängig jedoch Ihre E-Mail-Adresse, weshalb wir hierfür die E-Mail-Adresse, die Sie bei dem jeweiligen sozialen Netzwerk (oder dem Log-In Dienst / Identitätsdienst) hinterlegt haben, von dem Onlineangebot erhalten können. Wenn es erforderlich ist, können wir mit dieser E-Mail-Adresse mit Ihnen direkt in Kontakt treten. Sollten Sie zudem einmal die Verbindung zwischen Ihrem Profil bei Facebook (oder dem Log-In Dienst / Identitätsdienst) und dem dortigen Angebot des Onlineangebots aufheben, können Sie sich über diese E-Mail-Adresse und mit der Funktion „Passwort vergessen“ ein myPass-Passwort für Ihr myPass-Benutzerkonto schicken lassen und myPass so problemlos weiter nutzen.

Haben Sie die Registrierung über Facebook (oder den Log-In Dienst / Identitätsdienst) abgeschlossen, speichert myPass die Information, dass Sie sich über Facebook (oder den Log-In Dienst / Identitätsdienst) bei myPass registriert haben, mittels eines entsprechenden Schlüssels. Wenn Sie nach Ihrer Registrierung über Facebook (oder den Log-In Dienst / Identitätsdienst) mit Ihrem myPass-Benutzerkonto weitere Onlineangebote nutzen, die hierfür ggf. zusätzliche Informationen von Ihnen benötigen, werden wir Sie bitten, Ihr myPass-Benutzerkonto zu aktualisieren bzw. zu ergänzen. In keinem Fall werden Daten, die Sie dann für myPass eingeben, an Facebook (oder den Log-In Dienst / Identitätsdienst) weitergegeben. Wenn Sie sich „nur“ über Facebook (oder den Log-In Dienst / Identitätsdienst) anmelden, verlangen einige Onlineangebote ggf. für das Durchführen einer Transaktion (z.B. den Kaufs eines Produkts), dass Sie Ihr Passwort auch in myPass selbst setzen und das myPass-Benutzerkonto so vervollständigen.

1.3 Registrierung über bestehende Accounts bei Onlineangeboten

Vergleichbar mit dem unter Ziffer 1.2 beschriebenen Prozess, bieten wir gegebenenfalls auch eine Registrierung unter Nutzung von Ihnen bereits unterhaltener Benutzer-Accounts bei einzelnen Onlineangeboten an. Hierfür halten wir eine spezielle Schnittstelle vor, über die der für das Anlegen des myPass-Benutzerkontos erforderliche Datenaustausch (Verifizierung des Nutzers, Übertragung der für das Onlineangebot erforderlichen Daten) ermöglicht wird. Über weitere etwaige Besonderheiten bei diesem Weg der Registrierung informieren wir Sie selbstverständlich im Zuge der Registrierung.

2. Die Stammdaten

Die Daten, die Sie bei der Registrierung in das Registrierungsformular eingetragen haben, bilden bei uns zusammen mit Ihrer SSO-ID den ersten Stammdatensatz Ihres myPass-Benutzerkontos (im Folgenden „der Stammdatensatz“ genannt). Auf welche Stammdaten das jeweilige Onlineangebot Zugriff hat, wird von myPass technisch reglementiert und orientiert sich daran, was für die Leistungserbringung erforderlich ist.

Der Stammdatensatz kann sich im Zuge der Nutzung der verschiedenen Onlineangebote um zusätzliche Angaben erweitern. Das geschieht dann, wenn Sie ein Onlineangebot nutzen wollen, das für die Leistungserbringung Daten benötigt, die noch nicht Teil des Stammdatensatzes sind (zum Beispiel Ihren Namen und Ihre Anschrift, um Ihnen eine Rechnung zustellen zu können, Ihr Geburtsdatum oder Ihre Telefonnummer). myPass wird Sie bei Ihrer Registrierung für das Onlineangebot bzw. bei Ihrer ersten Anmeldung um die Angabe der betreffenden Daten bitten. Geben Sie diese Daten dann an, werden sie Teil des Stammdatensatzes. Wie die Daten, die von vornherein nur das einzelne Onlineangebot betreffen und damit spezifisch für das Onlineangebot erhoben und genutzt werden (können), können Sie unten Ziffer VI. nachlesen.

Zudem bedingt die Nutzung von myPass über mobile Endgeräte und einige weitere Endgerättypen (wie zum Beispiel Fernseher) die Registrierung des betreffenden Geräts, da die Nutzung von Onlineangeboten über mehrere Endgeräte hinweg limitiert sein kann (siehe unten Ziffer V.2.). Die Registrierung geschieht durch Angabe der Gerätekennung, die die Endgeräte teilweise selbstständig übermitteln. Diese Daten werden ebenfalls Teil Ihres Stammdatensatzes.

3. Einwilligungs- und Zustimmungserklärungen

Neben den Stammdaten wird zu Ihrem Benutzerkonto jeweils gespeichert, welchen allgemeinen Geschäfts- bzw. Nutzungsbedingungen (von myPass sowie ggf. der einzelnen Onlineangebote) Sie zugestimmt haben. Sofern Sie darüber hinaus auch einem oder mehreren der Onlineangebote eine datenschutzrechtliche Einwilligung erteilt haben, wird dies ebenfalls vermerkt. Der Einwilligung können Sie jederzeit widersprechen (siehe Ziffer XIII.).

4. Die Speicherung der Daten

Die Speicherung der Stammdaten ebenso wie der in Ziffer IV. 3. genannten Merkmale erfolgt, damit die Funktionen von myPass und das ausgewählte Onlineangebot genutzt werden können. Die Diensteanbieter erhalten dabei Zugriff auf die Daten (siehe unten Ziffer VI. 2.), um die Leistungen der jeweiligen Onlineangebote erbringen zu können.

nach oben

V. Angebotsspezifische Daten

1.

Neben den Stammdaten benötigen einzelne Onlineangebote bzw. die Diensteanbieter auch spezifische Daten, die nur für das betreffende Onlineangebot bzw. den betreffenden Diensteanbieter relevant sind (im Folgenden für beide Konstellationen „spezifische Daten“ genannt). Für diese Daten gelten die folgenden Regeln:

Bestimmte spezifische Daten werden aus technischen Gründen ebenfalls im myPass-System gespeichert. Das sind zum Beispiel Informationen darüber, welche Newsletter Sie ggf. in den Onlineangeboten bzw. von den Diensteanbietern bestellt haben. Daneben haben die Diensteanbieter, deren Onlineangebote myPass nutzen, die Möglichkeit, weitere von ihnen selbst erhobene Daten im myPass-System zu speichern, wenn sie dies wollen, wie zum Beispiel (falls vorhanden/angegeben):

  • dienstespezifische User-ID,
  • Nicknames der Nutzer,
  • Daten über die in Anspruch genommenen Dienste selbst,

Jedoch sind die spezifischen Daten über die Schnittstellen (zu diesen Ziffer VI.) für andere bzw. nicht von dem betreffenden Diensteanbieter betriebene Onlineangebote grundsätzlich nicht abrufbar. Diese Daten werden durch das betreffende Onlineangebot bzw. den betreffenden Diensteanbieter getrennt verarbeitet und ausschließlich durch das Onlineangebot bzw. den Diensteanbieter genutzt.

2.

Einzelne Diensteanbieter sehen für die Nutzung bestimmter Onlineangebote eine Beschränkung auf eine maximale Anzahl – meist fünf – bestimmter Endgeräte (PCs, Notebooks, Tablets, Smartphones etc.) vor. Um diese Beschränkung technisch umzusetzen, generiert myPass teilweise zusätzliche Daten, die als eine Art Geräte-ID fungieren. So wird bei Geräten mit iOS-Betriebssystem App-seitig und außerhalb des SSO-Systems die Generierung einer zufälligen Identifikationsnummer veranlasst, die dann beim Login mit der SSO-ID verknüpft wird und in der Form eines Hashwerts zur Identifizierung des Geräts im SSO-System gespeichert. Bei Android-Geräten wird ein Hashwert aus der Mac-Adresse des WLAN-Moduls sowie der App-ID generiert und gespeichert. Eine „personenbezogene“ Identifizierung der Geräte jenseits der Zwecke der erläuterten Beschränkung ist dabei ausgeschlossen.

nach oben

VI. Die Nutzung der Stammdaten durch die Diensteanbieter

1.

Wenn Sie sich mit Ihren Zugangsdaten bei einem Onlineangebot anmelden möchten, übergibt das Onlineangebot den Vorgang an unseren myPass-Server. Der myPass-Server verifiziert dann, dass Sie tatsächlich ein registrierter Nutzer sind und alle für das Onlineangebot erforderlichen Daten angegeben haben, und überprüft, ob Sie den AGB und/oder der Datenschutzerklärung des betreffenden Onlineangebots bereits zugestimmt haben, und teilt das Ergebnis dem Server des Onlineangebots zusammen mit der SSO-ID mit. Nach erfolgreicher Verifikation und Feststellung der weiteren genannten Punkte haben Sie Zugang zum Onlineangebot – sowie auch allen anderen Onlineangeboten, soweit diese nicht zusätzlich zugangsbeschränkte Bereiche haben, für die Sie (noch) nicht freigeschaltet sind (z.B. für Abonnenten). Wenn für das Onlineangebot noch Daten oder Zustimmungen/Einwilligungen fehlen, werden Sie ggf. gebeten, Ihre Angaben entsprechend zu vervollständigen bzw. nachzuholen.

2.

Nach erfolgreicher Anmeldung hat das Onlineangebot bzw. der jeweilige Diensteanbieter nun zum einen die Möglichkeit, über eine Schnittstelle seine Angebots-ID sowie Ihre SSO-ID dem myPass-Server mitzuteilen und darüber Ihre Stammdaten abzurufen. Zudem hat der Diensteanbieter dabei nur auf diejenigen Daten Zugriff, die für das betreffende Onlineangebot relevant sind. Dabei kann es sich um Ihre E-Mail-Adresse, Ihre ID in einem sozialen Netzwerk (sofern im Account vorhanden, siehe oben Ziffer IV. 1.2) sowie (sofern vorhanden) Ihre Kundennummer im Abrechnungssystem, die erforderliche Gerätekennung Ihres TV-Geräts bzw. mobilen Endgeräts (siehe ebenfalls oben) oder ähnliche Daten handeln.

Ausgenommen sind bei alledem natürlich Daten, die nur Vertragsverhältnisse anderer Diensteanbieter betreffen bzw. im Zusammenhang mit solchen Vertragsverhältnissen erhoben wurden und ausschließlich in jenen Verhältnissen erforderlich sind.

Mit den übermittelten Daten werden Sie im Onlineangebot nun „erkannt“. Zudem „erfährt“ der Diensteanbieter, dass Ihre für die Nutzung des Onlineangebots erforderlichen Zustimmungen und Einwilligungen vorliegen, da andernfalls die Weiterleitung zum Onlineangebot unterbunden wird. Der Diensteanbieter kann Sie nun im Onlineangebot begrüßen und Ihnen die jeweiligen Leistungen zur Verfügung stellen, also Ihnen zum Beispiel Zugang zu den abonnierten Inhalten gewähren, Sie Ihren Account in einem Online-Spiel nutzen oder Sie Bestellungen tätigen lassen etc. – je nachdem, was Gegenstand des Onlineangebots ist. Soweit dafür (zum Beispiel in einem Online-Shop) das Ausfüllen eines Webformulars erforderlich ist, kann das durch die an das Onlineangebot übermittelten Stammdaten (zumindest teilweise) automatisiert geschehen.

myPass fungiert also als Ihre zentrale Verwaltung der Nutzungs- bzw. Zugangsberechtigungen zu entgeltpflichtigen oder sonst zugangsbeschränkten Bereichen bzw. Inhalten der Onlineangebote sowie bestimmter für die Erbringung der jeweiligen Leistungen erforderlichen Daten. Die Onlineangebote können Ihnen daher nach der Anmeldung im myPass-Account durch eine automatisierte Abfrage bei myPass als autorisierten Nutzer unmittelbar Zugang zu den betreffenden Bereichen bzw. Inhalten geben und die Leistungen zur Verfügung stellen, ohne weitere Identifizierungs- und Authentifizierungsschritte vorsehen zu müssen.

3.

myPass erleichtert es den Onlineangeboten bzw. den Diensteanbietern zudem, Ihnen auf der Basis der von Ihnen bislang schon in Anspruch genommenen Leistungen des betreffenden Onlineangebots (z.B. ein bestimmtes Abonnement) optimierte Angebote des Onlineangebots bzw. des Diensteanbieters anzuzeigen (bzw. Ihnen ein Angebot gerade nicht anzuzeigen, weil Sie es bereits nutzen).

4.

In Ergänzung zu Ziffer VI. 2 weisen wir zur Klarstellung noch einmal auf Folgendes hin: Die Stammdaten sind zwar zentral in dem myPass-Datenbanksystem hinterlegt, aber nicht etwa für alle Onlineangebote frei verfügbar. Bei den spezifischen (V.) Daten ist dies ohnehin nicht der Fall. Auch die anderen hinterlegten Daten unterliegen einem differenzierten Rollen- und Rechte-Konzept von myPass, das sicherstellt, dass das jeweilige Onlineangebot bzw. der Diensteanbieter nur auf diejenigen Daten Zugriff hat, die es bzw. ihn selbst betreffen.

nach oben

VII. Pflege der in myPass hinterlegten Daten

Onlineangebote, die Ihnen die Möglichkeit bieten, bestimmte Ihrer Daten über so genannte Pflegemasken zu aktualisieren (z. B. Hinterlegung Ihrer neuen Anschrift, Verwaltung neuer Endgeräte) verlinken teilweise auf myPass und spielen die geänderten Daten unter Mitgabe der SSO-ID des Onlineangebots bei myPass ein.

Daneben haben wir gegebenenfalls auch einen Nutzer-Support eingerichtet, der für den Nutzer „offline“ (insbesondere per Telefon) erreichbar ist. Der Nutzer-Support kann gegebenenfalls bestimmte vom Nutzer gewünschte Änderungen im myPass-System vornehmen. Aus Datenschutz- und Datensicherheitsgründen sind die Befugnisse des Nutzer-Supports jedoch begrenzt. So kann der Nutzer-Support keine Passwörter entgegennehmen oder ändern. Auch die E-Mail-Adresse des Nutzers kann nur unter Beteiligung des Nutzers über ein Double-Opt-in-Verfahren (siehe oben Ziffer IV 1.1) geändert werden.

nach oben

VIII. Rechtsgrundlage und Zwecke der Verarbeitung

Wir verarbeiten Ihre Daten ausschließlich aufgrund einer oder mehrerer der möglichen gesetzlichen Grundlagen. Gemäß DSGVO können personenbezogene Daten insbesondere aufgrund eines Vertrages oder zur Durchführung vorvertraglicher Maßnahmen, bei Vorliegen einer Einwilligung, aufgrund eines berechtigten Interesses oder eines Gesetzes sowie zum Schutz lebenswichtiger oder öffentlicher Interessen verarbeitet werden.

Für das Bereitstellen bestimmter Inhalte oder Leistungen auf unserer Website ist eine Registrierung erforderlich. Jeder Nutzer kann sich kostenfrei unter Angabe von Vorname, Nachname, E-Mail-Adresse und einem Passwort bei myPass registrieren, wodurch Ihre Registrierungsdaten an uns übermittelt werden. Die Erhebung und Verarbeitung dieser Daten erfolgt zur Erfüllung des Nutzungsvertrags zwischen uns und dem Nutzer, Art. 6 Abs. 1 lit. b DSGVO.

Ihre im Zuge der Registrierung oder im Rahmen der Vertragsdurchführung erhobene E-Mail-Adresse verwenden wir außerdem, um Sie per E-Mail über eigene ähnliche Waren oder Dienstleistungen sowie über bestehende Abonnements oder generell über myPass zu informieren. Die Verarbeitung der E-Mail-Adresse erfolgt in diesem Fall auf Grundlage unseres berechtigten Interesses an der Bewerbung unserer Waren und Dienstleistungen (Art. 6 Abs. 1 lit. f DSGVO).

Im Internet benötigt jedes Gerät zur Übertragung von Daten eine eindeutige Adresse, die sogenannte IP-Adresse. Die zumindest vorübergehende Speicherung der IP-Adresse ist technisch erforderlich, um eine Auslieferung der Website an den Rechner des Nutzers zu ermöglichen. Unsere Server speichern Ihre IP-Adresse außerdem für 7 Tage zu eigenen Sicherheitszwecken.

Bei Verarbeitungsvorgängen, die von keiner oder mehreren der vorgenannten Rechtsgrundlagen erfasst werden, erfolgt die Verarbeitung, wenn sie zur Wahrung eines berechtigten Interesses erforderlich ist und aufgrund einer umfassenden Interessensabwägung Ihre Interessen, Grundrechte und Grundfreiheiten nicht überwiegen (Art. 6 Abs. 1 lit. f DSGVO). Ein berechtigtes Interesse ist anzunehmen, wenn die betroffene Person ein Kunde des Verantwortlichen ist. Basiert die Verarbeitung personenbezogener Daten hierauf ist unser berechtigtes Interesse insbesondere die Durchführung unserer Geschäftstätigkeit zugunsten des Wohlergehens all unserer Mitarbeiter und unserer Anteilseigner.

Unser berechtigtes Interesse, Ihnen maßgeschneiderte Produkte anbieten zu können, Sie über unsere Produkte, Neuerungen und Qualitätsmerkale zu informieren sowie unsere Services und Produkte stetig zu verbessern und dadurch auch unseren Umsatz zu steigern, ist die Rechtsgrundlage für die Verarbeitung zwecks Web/Appanalyse. Zu Webanalysediensten im Einzelnen siehe Ziffer IX. 3.

Unser berechtigtes Interesse zur Betrugsprävention, die Netz- und Informationssicherheit sowie die Zuverlässigkeit unserer Leistungserbringung bzw. unserer Produkte zu gewährleisten, dient ebenfalls als Rechtsgrundlage für die Verarbeitung bestimmter Daten.

Ein weiteres berechtigtes Interesse ist die Funktionalität der Unternehmensabläufe, aufgrund derer eine Verarbeitung zu internen Verwaltungszwecken (z. B. Adressmanagement / Rechnungslegung) erfolgt.

Der Verarbeitung aufgrund eines berechtigten Interesses können Sie jederzeit widersprechen (siehe Ziffer XIII.).

Für den Fall, dass die Daten zu einem anderen als bei der Datenerhebung angegebenen Zweck verarbeitet werden, erfolgt gemäß Art. 6 Abs. 4 DSGVO eine Kompatibilitätsprüfung. Eine Weiterverarbeitung ist dann nur zulässig, wenn der ursprüngliche Zweck mit dem neuen Zweck vereinbar oder aufgrund einer gesonderten Rechtsgrundlage erlaubt ist. Anerkannte kompatible Zwecke sind u. a. die Geltendmachung, Ausübung oder Verteidigung zivilrechtlicher Ansprüche sofern kein überwiegendes Interesse der betroffenen Person vorliegt. In diesem Fall werden wir Sie über die Zweckänderung informieren. Ist der neue Zweck nicht vereinbar mit dem bei Erhebung angegebenen Zweck, erfolgt eine neue Erhebung aufgrund einer neuen Rechtsgrundlage. Auch hier werden wir Sie über die Zweckänderung informieren.

nach oben

IX. Nutzungsdaten

Bei der Nutzung des SSO-Dienstes fallen stets einige Daten an, so genannte Nutzungsdaten. Zudem wird dem Nutzer bei seinem Login bei einem der angebundenen Onlineangebote für 24 Stunden bzw., wenn gewählt, auch für eine längere Zeit ein Identifikationsmerkmal zugewiesen. Dieses erlaubt es dem Nutzer, die Onlineangebote und die dortigen Angebote ohne zusätzliche Login-Vorgänge zu nutzen. Zudem verwenden wir ein Verfahren zur Webanalyse.

1. Logfiles

Wenn Sie sich über die dafür vorgesehenen Formulare registrieren oder später bei myPass anmelden, kommunizieren Sie über das Internet mit unserem myPass-Server. Die dabei aufgezeichneten Logfiles enthalten keine personenbezogenen Daten. Logfiles, die Zugriffe der Nutzer protokollieren, werden nach 7 Tagen gelöscht. In den der Fehleranalyse und -beseitigung dienenden Logfiles sind den Anschlüssen unserer Nutzer zu den betreffenden Zeitpunkt zugewiesene IP-Adressen lediglich gespeichert, um eben Störungsfälle bei der Erreichbarkeit unserer Server besser analysieren und beheben zu können.

2. Identifizierungs-Cookies

2.1

myPass verwendet Identifizierungs-Cookies. Bei Cookies handelt es sich um kleine Textdateien, die lokal in einer entsprechenden Datei auf Ihrem Endgerät gespeichert werden. Der Identifizierungs-Cookie dient so als Identifikationsmerkmal, das Ihnen weitere Login-Vorgänge auf den teilnehmenden Websites während der laufenden Session oder für längere Zeit (siehe dazu sogleich) erleichtert. myPass bietet ggf. teilweise auch eine automatische Log-on-Funktion an, die einen entsprechenden Identifizierungs-Cookie erfordert. Bei dieser Funktion sind Sie, wenn Sie ein Onlineangebot besuchen, sich nicht zuvor aktiv abgemeldet haben und einen gültigen Identifizierungs-Cookie besitzen, ohne weiteren Zwischenschritt angemeldet.

Der Identifizierungs-Cookie wird mit zwei unterschiedlichen Laufzeiten eingesetzt. Grundsätzlich hat er eine Laufzeit von 8 Stunden. Danach müssen Sie sich also, auch wenn Sie sich nicht ausgeloggt haben, wieder neu anmelden. Wenn Sie aber die „Eingeloggt bleiben“-Option auswählen, wird der Cookie als „permanenter“ Cookie gesetzt und bleibt für 365 Tage gültig. In diesem Fall bleiben Sie, wenn Sie den Cookie nicht löschen, für die Laufzeit des Cookies angemeldet. Mit der Abmeldung (Log-out) aus myPass wird der Identifizierungs-Cookie jedoch in beiden Fällen gelöscht.

Falls Sie die Verwendung von Cookies unterbinden wollen, besteht dazu bei Ihrem Browser die Möglichkeit, die Annahme und Speicherung neuer Cookies zu verhindern. Wie dies bei Ihrem Browser funktioniert, können Sie zum Beispiel im Rahmen der Hilfefunktion des Browsers erläutert finden. Wenn Sie Cookies durch die vorgenommenen Einstellungen im Browser automatisch ablehnen, können Sie die Funktionen von myPass jedoch nicht nutzen. Wenn Sie die gespeicherten Cookies nach jeder Session automatisch löschen, sind die Funktionen, die Cookies voraussetzen, danach nicht mehr verfügbar. Sie müssen sich also vor allem wieder neu anmelden, wenn Sie ein den Login voraussetzendes Onlineangebot nutzen möchten.

Nutzen Sie myPass über eine mobile App, so wird aus technischen Gründen (abhängig von der jeweiligen Plattform und der von dieser verwendeten Technologie) kein Cookie gesetzt, sondern ein Äquivalent (Token) zu dem beschriebenen Cookie, das den Authentifizierungszweck erfüllt. Entsprechendes kann für andere Endgeräte wie z.B. Fernseher gelten.

3. Webanalyse

Auf unserer Website werden durch die „REM“, einem Webanalysedienst des Anbieters CeleraOne GmbH (Usedomer Straße 4, 13355 Berlin), Daten erhoben und gespeichert, aus denen unter Verwendung von Pseudonymen Nutzungsprofile erstellt werden. Diese Nutzungsprofile dienen der Analyse des Besucherverhaltens und werden zur Verbesserung und bedarfsgerechten Gestaltung unseres Angebots ausgewertet. Hierzu werden Cookies oder ähnliche Technologien eingesetzt. Durch eine E-Mail an datenschutz@mypass.de können Sie einer etwaigen Einwilligung und/oder der Datenerhebung und -speicherung über die „REM“ jederzeit mit Wirkung für die Zukunft widersprechen.

Wir ermöglichen es aber den Diensteanbietern, von ihnen in den Onlineangeboten genutzte Webanalyse-Verfahren – konkret „Webtrekk“, „REM“ und „Tealium“ – auch auf von unseren Servern bereitgestellten Internetseiten und Templates einzubinden bzw. einbinden zu lassen. Diese Verfahren erfassen so genannte Nutzungsdaten, die entstehen, während der Nutzer im Zuge der Nutzung der Onlineangebote auch unsere Seiten besucht bzw. Templates ausfüllt (z.B. bei der Registrierung und Anmeldung für bzw. in der SSO).

Über Einzelheiten zur Datenerhebung und Verarbeitung im Zusammenhang mit den genannten Webanalyse-Verfahren sowie über das Ihnen zustehende Widerspruchsrecht gegen den Einsatz dieser Verfahren informiert Sie das jeweilige Onlineangebot, das den Einsatz der Verfahren verantwortet. Ein Beispiel hierfür ist die Darstellung in der Datenschutzerklärung des Onlineangebotes „BILDplus“. Diese finden Sie hier.

Auf der Grundlage der erfassten Nutzungsdaten erstellen wir zudem aggregierte statistische Informationen über die Nutzung von myPass und der Onlineangebote insgesamt. Dabei sind zwar die Informationen inhaltlich und bezogen auf das einzelne Onlineangebot weitestmöglich detailliert. Jedoch gibt es keinerlei Bezug auf den einzelnen Nutzer. Die entstandenen Analysen stellen wir den Diensteanbietern als Reports zur Verfügung.

nach oben

X. Datenübermittlung an Dritte

1. Datenübermittlung an Diensteanbieter

1.1.

Die Diensteanbieter sind mit ihren myPass nutzenden Onlineangeboten neben der inhaltlichen und technischen Unabhängigkeit auch rechtlich von uns als Anbieter von myPass unabhängig. Die Diensteanbieter sind daher „Dritte“ im Sinne der DSGVO und als solche für ihre eigene Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten als verantwortliche Stelle selbst verantwortlich.

Dies gilt nicht nur in Bezug auf die jeweils eigene Verarbeitung personenbezogener Daten, sondern auch hinsichtlich der Verarbeitung und Nutzung von in myPass hinterlegten und an den Diensteanbieter nach diesen Datenschutzbestimmungen übermittelten bzw. den Diensteanbietern verfügbar gemachten Daten. Über die Erhebung, Verarbeitung und Nutzung von personenbezogenen Daten durch einen Diensteanbieter werden Sie auch aus diesem Grund durch das jeweilige Onlineangebot auf dessen Website separat informiert.

1.2.

Wir übermitteln an die Diensteanbieter je nach Onlineangebot und Nutzungserfordernis bestimmte Ihrer in myPass hinterlegten Daten, wie dies oben in dieser Datenschutzerklärung beschrieben ist. Dies geschieht teilweise durch Übermittlung aus myPass, teilweise indem wir den Diensteanbietern über eine Schnittstelle den Zugriff auf hinterlegte Daten gestatten (vgl. oben Ziffern VI. und X.).

1.3

Wird die Vereinbarung zur Nutzung von myPass beendet (vgl. Ziffer 7 der Allgemeinen Nutzungsbedingungen), können Sie die über die Anmeldung mit myPass genutzten Onlineangebote auf dem bisherigen Weg nicht weiter nutzen. Wenn bei den Onlineangeboten die Möglichkeit zur Übermittlung der Daten aus myPass besteht, die für die weitere Erfüllung der von Ihnen in einem oder mehreren der Onlineangebote geschlossenen Verträge über von den Diensteanbietern angebotene Anmeldeprozesse erforderlich sind, informieren wir Sie.

2. Datenübermittlung an sonstige Dritte

Wir übermitteln Bestands- und Nutzungsdaten grundsätzlich nicht an sonstige Dritte. Ausnahmen gelten, wenn und soweit es zur Durchsetzung uns zustehender Ansprüche notwendig ist.

  • Sofern wir gesetzlich dazu verpflichtet sind oder
  • dies datenschutzrechtlich erlaubt ist, übermitteln wir personenbezogene Daten an Behörden, zum Beispiel die Polizei oder Staatsanwaltschaft (Art. 6 Abs. 1 lit. c DSGVO). Die Weitergabe dieser Daten erfolgt auf Grundlage unseres berechtigten Interesses an der Bekämpfung von Missbrauch, der Verfolgung von Straftaten und der Sicherung, Geltendmachung und Durchsetzung von Ansprüchen und dass Ihre Rechte und Interessen am Schutz Ihrer personenbezogenen Daten nicht überwiegen, Art. 6 Abs. 1 lit. f DSGVO.

nach oben

XI. Ort der Verarbeitung

Wir selbst übertragen Ihre personenbezogenen Daten nicht in Länder außerhalb des Europäischen Wirtschaftsraumes, außer in Fällen, in denen es nach der DSGVO zulässig ist. Ob Dritte, mit denen Sie eine eigene Vertragsbeziehung haben (wie z. B. mit Facebook, falls Sie einen Facebook-Account haben) Daten in Länder außerhalb des Europäischen Wirtschaftsraums übertragen, entzieht sich unserer Kenntnis und unserem Einfluss.

nach oben

XII. Speicherdauer

Wir speichern personenbezogene Daten nur solange wir dazu berechtigt sind und der Verarbeitungszweck nicht entfallen ist. Für die Dauer der Speicherung von personenbezogenen Daten gilt die jeweilige gesetzliche Aufbewahrungsfrist. Nach Ablauf der Frist werden die entsprechenden Daten routinemäßig gelöscht, sofern sie nicht mehr zur Vertragserfüllung oder Vertragsanbahnung erforderlich sind.

nach oben

XIII. Auskunft, Berichtigung, Löschung, Sperrung

Bitte wenden Sie sich bei Fragen und Anregungen zum Datenschutz sowie zur Durchsetzung Ihrer Rechte als betroffene Person jederzeit an unseren Datenschutzbeauftragten:

myPass GmbH
Datenschutz
Axel Springer Straße 65
10888 Berlin
datenschutz@mypass.de

▫ Auskunft und Berichtigung

Sie können von uns jederzeit unentgeltlich Auskunft darüber erhalten, ob personenbezogene Daten zu Ihrer Person von uns verarbeitet werden und auch konkret welche Daten über sie gespeichert werden sowie eine Kopie der gespeicherten Daten verlangen. Sie können ferner unrichtige Daten berichtigen und vervollständigen lassen.

▫ Löschung, Einschränkung und das Recht auf Vergessenwerden

Sie können die Löschung und Einschränkung Ihrer personenbezogenen Daten verlangen. Bitte beachten Sie, dass es z. B. für entgeltliche Verträge wie dem Kauf eines Abonnements von myPass gesetzliche Aufbewahrungspflichten gibt und wir daher Ihre Daten nicht in jedem Fall vollständig löschen dürfen. In diesem Fall werden Ihre Daten mit dem Ziel markiert, ihre künftige Verarbeitung einzuschränken.

▫ Datenübertragbarkeit

Sofern anwendbar haben Sie außerdem das Recht, dass die sie betreffenden personenbezogenen Daten in einem strukturierten, gängigen und maschinenlesbaren Format an Sie oder einen anderen Verantwortlichen übermittelt werden, sofern die Verarbeitung auf der Einwilligung oder einem Vertrag beruht und mithilfe automatisierter Verfahren erfolgt. Dies gilt jedoch nicht, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde. Ferner haben Sie das Recht, zu erwirken, dass die personenbezogenen Daten direkt von einem Verantwortlichen an einen anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist und sofern hiervon nicht die Rechte und Freiheiten anderer Personen beeinträchtigt werden.

▫ Widerruf / Widerspruch

Ihre abgegebenen Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft unter der. o. g. Kontaktadresse widerrufen. Ferner haben Sie das Recht aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund eines berechtigten oder öffentlichen Interesses erfolgt, Widerspruch einzulegen. Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten die personenbezogenen Daten im Falle des Widerspruchs nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die den Interessen, Rechten und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Sofern wir personenbezogene Daten verarbeiten, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung der personenbezogenen Daten zum Zwecke derartiger Werbung unter der. o. g. Kontaktadresse einzulegen. Dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Zudem haben Sie das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, gegen die Sie betreffende Verarbeitung personenbezogener Daten, die bei uns zu wissenschaftlichen oder historischen Forschungszwecken oder zu statistischen Zwecken erfolgen, Widerspruch einzulegen, es sei denn, eine solche Verarbeitung ist zur Erfüllung einer im öffentlichen Interesse liegenden Aufgabe erforderlich.

▫ Beschwerderecht

Ferner haben Sie ein Beschwerderecht bei der zuständigen Aufsichtsbehörde sowie die Möglichkeit Rechtsbehelfe einzulegen. Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs.

▫ Bestehen einer automatisierten Entscheidungsfindung

Wir verzichten auf eine automatische Entscheidungsfindung oder ein Profiling.

nach oben

Stand: 25. Mai 2018