Datenschutzerklärung für Mitglieder des jö Bonus Clubs, die bei der PENNY GmbH GmbH einkaufen mit Teilnahmebeginn bis zum 07.06.2023
I. Informationen zum Datenschutz bei PENNY zur Mitgliedschaft im jö Bonus Club
- Allgemein
In dieser Datenschutzerklärung finden Mitglieder des jö Bonus Clubs als "betroffene Personen" gemäß Art 4 Z 1 Datenschutz-Grundverordnung (DSGVO) (nachfolgend kurz "Mitglieder") Informationen über die Art und den Umfang der Verarbeitung ihrer personenbezogenen Daten sowie über ihre Rechte im Zusammenhang mit der Datenverarbeitung im jö Bonus Club bei einem Einkauf bei PENNY.
Datenschutz hat bei PENNY höchste Priorität, denn wir respektieren Ihre Privat- und Persönlichkeitssphäre. PENNY ist Partner der Unser Ö Bonus Club GmbH (jö Bonus Clubs), der die Treue seiner Mitglieder belohnt und diesen, bei verschiedenen am jö Bonus Club teilnehmenden Partnern ermöglicht Bonuspunkte, sogenannte „Ös“, zu sammeln, einzulösen und von unterschiedlichen Vorteilen zu profitieren.
Nachfolgend informieren wir Sie über die Verarbeitung dieser Daten bei PENNY. Weitergehende Informationen zur Verarbeitung Ihrer Daten bei der Unser Ö-Bonus Club GmbH finden Sie unter www.joe-club.at/datenschutz.
2. Verantwortlicher
Die Unser Ö-Bonus Club GmbH, FN 246168 m, in 2355 Wiener Neudorf, IZ NÖ-Süd, Straße 3, Objekt 16, ist der Betreiber des jö Bonus Clubs (nachfolgend kurz "Betreiber"). Die PENNY ist ein Partnerunternehmen des jö Bonus Clubs. Die Vereinbarungen zwischen dem Betreiber und PENNY enthalten Regelungen dazu, wer welche Verpflichtungen gemäß der DSGVO hat. Der Betreiber steht dem Mitglied und allen sonst betroffenen Personen als erste Anlaufstelle für datenschutzrechtliche Belange in Zusammenhang mit dem jö Bonus Club zur Verfügung; insbesondere kann das Mitglied seine Rechte gemäß der DSGVO (Punkt I.8) gegenüber dem Betreiber geltend machen. Der Betreiber ist postalisch, per E-Mail unter datenschutz@joe-club.at und telefonisch unter +43 1 386-5000 erreichbar. Das Recht des Mitglieds nach Art 26 Abs 3 DSGVO, seine Rechte nach der DSGVO bei und gegenüber PENNY und dem Betreiber geltend zu machen, bleibt hiervon unberührt.
PENNY, bei dem das Mitglied die jö Karte verwendet, z.B. im Rahmen eines Einkaufs, ist – neben dem Betreiber als alleinigem Verantwortlichen wie in Punkt I.2.2 beschrieben – für die folgenden Datenverarbeitungen der personenbezogenen Daten des Mitglieds in dem eigenen Datenbestand selbst alleiniger Verantwortlicher gemäß Art 4 Z 7 DSGVO:
- Profiling für zielgruppen-gerichtete Werbung wie in Punkt I.4.3 beschrieben;
- und – nur wenn das Mitglied darin eingewilligt hat – auch personalisierte Werbung durch automationsunterstützte Verarbeitung und Analyse und Newsletter sowie Werbung mit für das Mitglied personalisierten (profilierten) Angeboten wie in Punkt I.4.5 beschrieben;
- Durchführung von Umfragen wie in Punkt I.4.10 beschrieben;
- Anonymisierung für Statistiken wie in Punkt I.4.11 beschrieben;
- Durchführung von Gewinnspielen wie in Punkt I.4.12 beschrieben; und
- Veranstaltungsmanagement wie in Punkt I.4.13 beschrieben.
Der Betreiber und PENNY sind für die Durchführung des jö Bonus Clubs wie in Punkt I.4.2 beschrieben gemeinsame Verantwortliche.
PENNY ist alleine für die Wahrnehmung der Rechte des Mitglieds betreffend diese Datenverarbeitungen durch PENNY verantwortlich:
- insbesondere das Recht auf Widerspruch gegen die Datenverarbeitung;
- und das Recht auf Widerruf der für die Datenverarbeitung erteilten Einwilligung.
3. Welche Daten werden verarbeitet?
Die vom Betreiber im Rahmen des jö Bonus Clubs verarbeiteten personenbezogenen Daten lassen sich in folgende Datenkategorien zusammenfassen:
"Mitgliederstammdaten":
- Daten zur Person (Mitgliedsnummer, Anrede, Geschlecht, Vor-/Nachname, Geburtsdatum, Titel)
- Adress- und Kontaktdaten (Anschrift, Telefonnummer, E-Mail-Adresse) mit Geolokation (X-Koordinate, Y-Koordinate, Zählersprengelnummer der Adresse, Geocodierung)
- Erlaubte Kontaktart (Telefon, E-Mail, Post)
- Daten zur Einwilligung zum Profiling
- Daten zu den gesammelten Ös
"Teilnahmedaten":
- Mitgliederstammdaten (siehe oben)
- Analytische Kundennummer (=verschlüsselte Kundennummer)
- Status des Kundenkontos
- Zugangsnummer
- Registrierungsdaten (Registrierungsart, Formular-ID, Datum der Registrierung, Verkaufsstelle und Kassa der Registrierung, IP-Adresse bei der Registrierung, Partner bei der Registrierung)
- Kartennummer(n), Kartentyp und Anzahl der jö Karten (z.B. bei Verlust einer jö Karte, temporäre Ersatzkarte, digitale und physische jö Karte)
- Änderungsdatum Erlaubnis für Postsendung, E-Mail-Sendung und Telefonkontakt und Daten zur AGB-Zustimmung
- Erlaubnis für Stammdatenzugriff des jeweiligen jö Partners
"Einkaufsdaten":
- Daten, die bei Einkäufen über sämtliche Vertriebskanäle generiert werden (Kaufort/-zeit, Kassa, Bezahlart, erworbene Ware/Dienstleistung inkl. Verkaufspreis und Einkaufspreis des Partners, sowie logistik- und produktbezogene Informationen, Einkaufsfrequenz, Produktkategorie, in Anspruch genommene Rabattierung und Aktion, Gutschein-ID, gewährte und eingelöste Ös)
- Transaktions-ID, Datum, Partner, Verkaufsstelle, Kassennummer, gesammelte/eingelöste Ös, Umsatz, nicht rabattfähiger Umsatz, Point of Sale-ID (POS ID), Promotion-ID, Mehrwertsteuer
- Daten mit begleitenden Zusatzinformationen (Wirtschaftskraft der Einkaufs- und Wohngegend des Mitglieds und in der Einkaufs- und Wohngegend des Mitglieds vorhandene Infrastruktur, wie z.B. umliegende Tankstellen, Lebensmittelgeschäfte usw.) sofern dies zur Erstellung anonymer Reportings und von Statistiken erforderlich ist
"Marketing-Profilingdaten":
- Daten aus der Zusammenführung und Analyse der Teilnahme- und Einkaufsdaten, Daten zu Kunden- und Einkaufsprofilen (Wahrscheinlichkeit zukünftiger Einkäufe, aggregierte Auswertungen für Sortimente, Regal- und Filialoptimierung, Abstimmung für individualisierte Information, Werbung und Angebote)
- Daten aus der Reaktion des Mitglieds auf Werbemaßnahmen per E-Mail, Push-Nachricht und Pop-up in der jö äpp oder im persönlichen Mitglieder-Bereich (Öffnen enthaltener Werbung, Klick darin enthaltener Links, dafür verwendete Zeit, Endgerät, Betriebssystem, Browser, ungefährer Ort des Aufrufs der Werbung über die zugewiesene IP-Adresse [die IP-Adresse wird sonst nicht weiterverarbeitet und auch nicht mit sonstigen Daten verknüpft, sondern wird lediglich die so ermittelte Postleitzahl weiter verwendet] und ob es Soziale Netzwerke nutzt und dort die Inhalte der Werbung allenfalls mit Dritten teilt)
- Daten zur Nutzung von jö äpp, Webseite und Kundendienst
"Kommunikationsdaten":
- Datum und Uhrzeit des Versendens der Nachricht durch den Betreiber, Datum und Uhrzeit des Öffnens der Nachricht und Inhalt der Nachricht, jeweils bei rechtlich bedeutsamen elektronischen Nachrichten
- Datum und Sendungsnummer, Inhalt der Nachricht und Retourengrund, jeweils bei postalischen Nachrichten
"Umfragedaten":
- Datum und Uhrzeit der Versendung der Einladung zu einer Umfrage
- Thema und Inhalt der Umfrage
- jö Partner bei der Transaktion oder Nutzung eines Service, auf den sich die Umfrage bezieht.
- Antwort des Mitglieds oder Reaktion
- Anzahl der an ein Mitglied versendeten Umfragen
- IP-Adresse beim Öffnen der Umfrage und die daraus abgeleitete Postleitzahl. Die IP-Adresse wird sonst nicht weiterverarbeitet und auch nicht mit sonstigen Daten verknüpft, sondern wird lediglich die so ermittelte Postleitzahl weiterverwendet.
"Optionale Angaben":
- Sie können uns jederzeit freiwillig zusätzliche Informationen über Ihre Person mitteilen. Dazu zählen z.B. Ihre Interessen, Angaben zum Familienstand, Haushaltseinkommen oder die Anzahl der Personen im Haushalt.
"Daten zur Ziel- und Kontrollgruppenselektion":
- Mitglieder werden für Werbe-, Marketing- und Marktforschungsmaßnahmen (wie bspw. Umfragen) in Ziel- und Kontrollgruppen aufgeteilt. Nur Mitglieder in der Zielgruppe erhalten die Maßnahmen. Diese Einteilung ermöglicht die Auswertung des Erfolgs von Maßnahmen. In einer Ziel- oder Kontrollgruppe befindet man sich für eine gewisse Zeit. Nach Ablauf und Auswertung des Erfolgs der Maßnahme wird diese Zuordnung wieder aufgehoben. Dokumentiert bleibt, welchen Ziel- bzw. Kontrollgruppen das Mitglied zugeordnet war.
4. Welchen Zweck hat die Datenverarbeitung, wer ist deren Verantwortlicher und auf welcher Rechtsgrundlage basiert sie?
Abschnitt | Zweck der Datenverarbeitungen | Verantwortlicher | Rechtsgrundlage |
I.4.1 | Verwaltung der Mitgliedschaft beim jö Bonus Club | jö Bonus Club | Art 6 Abs 1 lit b DSGVO (Vertragserfüllung) und Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
I.4.2 | Durchführung des jö Bonus Clubs | gemeinsam: jö Bonus Club und PENNY | Art 6 Abs 1 lit b DSGVO (Vertragserfüllung) |
I.4.3 | Profiling für zielgruppen-gerichtete Werbung | jeweils alleinige Verantwortliche: jö Bonus Club sowie PENNY | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
1.4.4 | Profiling für personalisierte Werbung durch den Betreiber | jö Bonus Club | Art 6 Abs 1 lit a DSGVO (Einwilligung) |
I.4.5 | Profiling für personalisierte Werbung durch PENNY | PENNY | Art 6 Abs 1 lit a DSGVO (Einwilligung) |
I.4.6 | Profiling für Marktforschung - Reporterstellung | jö Bonus Club | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
I.4.7 | Information des Mitglieds | jö Bonus Club | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
I.4.8 | Kommunikation mit dem Mitglied | jö Bonus Club | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
I.4.9 | Adresskorrekturen und Postretouren | jö Bonus Club | Art 6 Abs 1 lit b DSGVO (Vertragserfüllung) und Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
I.4.10 | Umfragen | jeweils alleinige Verantwortliche: jö Bonus Club sowie PENNY | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
I.4.11 | Anonymisierung für Statistiken | jeweils alleinige Verantwortliche: jö Bonus Club sowie PENNY | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) |
I.4.12 | Durchführung von Gewinnspielen | jeweils alleinige Verantwortliche: jö Bonus Club sowie PENNY | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) oder Art 6 Abs 1 lit a DSGVO (Einwilligung) |
I.4.13 | Veranstaltungsmanagement | jeweils alleinige Verantwortliche: jö Bonus Club sowie PENNY | Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) oder Art 6 Abs 1 lit a DSGVO (Einwilligung) |
4.1 Verwaltung der Mitgliedschaft beim jö Bonus Club durch den Betreiber
Der Betreiber verarbeitet als alleiniger Verantwortlicher die personenbezogenen Daten des Mitglieds zur Verwaltung der Mitgliedschaft beim jö Bonus Club wie folgt: Für die Teilnahme am jö Bonus Club erfasst der Betreiber zuerst die Stamm- und Teilnahmedaten des Mitglieds über das vom Mitglied vervollständigte Online-Teilnahmeformular. Der Betreiber vergibt insbesondere eine dem Mitglied zugeordnete Mitgliedsnummer und das Mitglied erhält mit dem Beginn der Teilnahme am jö Bonus Club einen persönlichen Mitglieder-Bereich zur Abwicklung der Teilnahme am jö Bonus Club und der entsprechenden Datenverarbeitungen. Über die Mitgliedsnummer und die Zugangsnummer kann sich das Mitglied gegenüber dem Betreiber identifizieren und seine Stamm- und Teilnahmedaten im persönlichen Mitglieder-Bereich jederzeit einsehen und aktualisieren, den aktuellen Stand der Ös abrufen und die gesammelten/eingelösten Ös kontrollieren. Die Stamm- und Teilnahmedaten werden auch zur Kommunikation weiterer, die Teilnahme am jö Bonus Club betreffende Sachverhalte (z.B. die Änderung der AGB) und zur Verhinderung sowie Aufdeckung von Missbrauch (etwa vertragswidrige Nutzung von jö Karten durch Mehrfachanmeldungen) verarbeitet. Die dem Mitglied gewährten Werbemaßnahmen werden zwischen dem Betreiber und PENNY verrechnet.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß Punkt I.4.1 ist Art 6 Abs 1 lit b DSGVO (Vertragserfüllung) und Art 6 Abs 1 lit f DSGVO (berechtigte Interessen) zwecks Verhinderung und Aufdeckung von Missbrauch (etwa vertragswidrige Nutzung von jö Karten durch Mehrfachanmeldungen) sowie zwecks Vornahme einer nachvollziehbaren Rechnungsstellung. Die Zurverfügungstellung der Mitgliederstammdaten und der Einkaufsdaten ist für den Vertragsabschluss sowie seine Durchführung zwingend erforderlich, weil andernfalls die Leistungen aus dem jö Bonus Club nicht erbracht werden können und sohin eine Mitgliedschaft zum jö Bonus Club nicht möglich ist.
Zur Verifizierung der E-Mail-Adresse des Mitglieds, sofern von ihm bekanntgegeben, kommt das sogenannte "Double-Opt-In-Verfahren" zum Einsatz. Das Mitglied erhält erst dann elektronische Nachrichten an die bei der Anmeldung angegebene E-Mail-Adresse, wenn das Mitglied diese bestätigt hat. Zur Bestätigung der E-Mail-Adresse erhält das Mitglied ein Bestätigungs-E-Mail und kann per Klick auf den darin enthaltenen Link die E-Mail-Adresse bestätigen. Die Bestätigung des Mitglieds muss innerhalb von 14 Tagen nach Erhalt des Bestätigungs-E-Mails erfolgen, weil andernfalls die E-Mail-Adresse des Mitglieds automatisch aus der Datenbank des Betreibers gelöscht wird.
4.2 Durchführung des jö Bonus Clubs durch den Betreiber und PENNY
Der Betreiber und PENNY verarbeiten als gemeinsame Verantwortliche im Sinne des Art 26 DSGVO die personenbezogenen Daten des Mitglieds bei einzelnen Verarbeitungsprozessen im Rahmen des jö Bonus Clubs, und zwar bei der Erhebung der Daten für die Vergabe und das Einlösen von Ös, sowie gegebenenfalls Korrekturen von Ös. So erhebt PENNY bei jeder Transaktion, sobald das Mitglied seine jö Karte bei PENNY verwendet, vom Mitglied die Mitglieds- und Kartennummer sowie Einkaufsdaten. Diese Daten werden an den Betreiber weitergegeben, damit der Betreiber die Teilnahme am jö Bonus Club und die einzelnen Transaktionen der Mitglieder entsprechend nachvollziehen und insbesondere die gesammelten und eingelösten Ös ordnungsgemäß verwalten kann. Der Betreiber stellt nach Erhalt der Mitglieds- und Kartennummer sowie der Einkaufsdaten PENNY die Mitgliederstammdaten zur Verfügung.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß Punkt I.4.2 sowohl für den Betreiber als auch für PENNY ist Art 6 Abs 1 lit b DSGVO (Vertragserfüllung). Die Kommunikation zwischen dem Betreiber und PENNY ist für die Durchführung des Vertrags zwingend erforderlich, weil andernfalls die Leistungen aus dem jö Bonus Club nicht erbracht werden können.
4.3 Profiling für zielgruppen-gerichtete Werbung (Rechtsgrundlage ist Art 6 Abs 1 lit f DSGVO [berechtigtes Interesse]) durch den Betreiber sowie PENNY
Bei zielgruppen-gerichteter Werbung handelt es sich um eine Form der Werbung, die auf eine bestimmte Zielgruppe ausgerichtet ist und nicht auf eine einzelne Person. Die zielgruppen-gerichtete Werbung wird so platziert, dass sie genau dieser Zielgruppe gezeigt wird. Der Vorteil für das Mitglied besteht darin, dass es Werbung bekommt, an der es wahrscheinlich interessiert ist. Nicht zielgruppen-gerichtete Werbung würde bedeuten, dass willkürlich irgendwelche Werbung gewählt wird, an der das Mitglied mitunter kein Interesse hat (Beispiel: Mitglieder aus Wien erhalten Werbung für Filialen aus Vorarlberg). Das Mitglied nimmt so an wahrscheinlich für das Mitglied relevanten Werbe-Maßnahmen teil, es bekommt also bspw. einen Gutschein, an dem das jö Mitglied Interesse haben könnte. Dafür wird der Betreiber als alleiniger Verantwortlicher die Mitgliederstammdaten, Teilnahmedaten, Einkaufsdaten, Umfragedaten, optionalen Angaben und Daten zur Ziel- und Kontrollgruppenselektion automationsunterstützt verarbeiten, um zielgerichtete Werbe- und Marketingmaßnahmen durchzuführen. Das Mitglied erhält vom Betreiber per Post und, sofern das Mitglied auch die Einwilligung zur elektronischen Zusendung erteilt hat, per E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über die jö äpp oder Messenger zielgruppen-gerichtete Mitteilungen über besondere Vorteilsangebote und zur Bewerbung von Produkten und Gewinnspielen des Betreibers und PENNY. Das Mitglied muss sich daher nicht aktiv um relevante Information zu Vorteilsangeboten und neuen Waren oder Dienstleistungen bemühen, sondern wird ihm diese zielgruppen-gerichtet bereitgestellt.
Bei dieser Art der Datenverarbeitung handelt es sich um Profiling gemäß Art 4 Z 4 DSGVO. Profiling bedeutet die Analyse von bestimmten Merkmalen, um Einkaufsgewohnheiten besser kennenzulernen. Allerdings erfolgt das Profiling für zielgruppen-gerichtete Werbung nur anhand von allgemeinen Eigenschaften (wie z.B. Alter, Wohnort oder Geschlecht) und zusammengefassten Werten aus den Einkaufsdaten eines Mitglieds (wie zB die Gesamtanzahl der Einkäufe bei PENNY oder die Einlösequote von Gutscheinen). Es werden keine Bewertungen der wirtschaftlichen oder sozialen Situation von Mitgliedern durchgeführt (z.B. wird nicht analysiert, ob ein Mitglied Kinder hat oder wie groß der Haushalt eines Mitglieds ist). Es werden keine konkreten, individuellen Interessen und Vorlieben eines Mitglieds abgeleitet. Es werden auch keine standortdatenbasierten Profile über einzelne Mitglieder erstellt. Insbesondere werden keine neue Marketing-Profilingdaten über einzelne Mitglieder gewonnen (dies erfolgt nur im Falle einer Einwilligung gemäß den Punkten I.4.4 und I.4.5).
Darüber hinaus wird PENNY, bei dem die jö Karte verwendet wurde, die Mitgliederstammdaten und Einkaufsdaten des Mitglieds zu denselben wie in den Punkten I.4.3.1 und I.4.3.2 beschriebenen Tätigkeiten für seine eigenen Zwecke verarbeiten, wobei PENNY nur auf Mitgliederstammdaten Zugriff hat, wenn das Mitglied bei PENNY seine jö Karte verwendet hat. PENNY ist für diese Datenverarbeitung alleiniger Verantwortlicher. Das Mitglied hat ein eigenes Recht auf Widerspruch gegen die Verwendung dieser Daten für Werbezwecke gegenüber PENNY, wobei das Mitglied bei Widerspruch weiterhin am jö Bonus Club teilnehmen und Bonuspunkte sammeln und einlösen kann. Daneben stehen dem Mitglied alle anderen Rechte nach den Art 15 ff DSGVO zu.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß Punkt I.4.3 durch den Betreiber oder PENNY ist Art 6 Abs 1 lit f DSGVO (berechtigtes Interesse), nämlich die Bewerbung von Produkten, Gewinnspielen oder Vorteilsangeboten. Es liegt im berechtigten Interesse des Betreibers und PENNY, Werbemaßnahmen möglichst effizient und insofern kostenminimierend auszuspielen. Die Zielgruppen werden anhand von allgemeinen Eigenschaften (wie z.B. Alter, Wohnort oder Geschlecht) und zusammengefassten Werten aus den Einkaufsdaten eines Mitglieds (wie z.B. die Gesamtanzahl der Einkäufe bei PENNY oder die Einlösequote von Gutscheinen) erstellt. Die Bereitstellung der Daten des Mitglieds gemäß Punkt I.4.3 ist für den Vertragsabschluss sowie seine Durchführung nicht zwingend erforderlich. Das Mitglied hat ein Recht auf Widerspruch gegen die Verwendung seiner Daten für Werbezwecke, wobei das Mitglied bei Widerspruch weiterhin am jö Bonus Club teilnehmen und Bonuspunkte sammeln und einlösen kann. Daneben stehen dem Mitglied alle anderen Rechte nach den Art 15 ff DSGVO zu. Siehe dazu Punkt I.8.
4.4 Profiling für personalisierte Werbung durch den Betreiber (Rechtsgrundlage ist Art 6 Abs 1 lit a DSGVO [Einwilligung]): Automationsunterstützte Verarbeitung und Analyse sowie Werbung mit für das Mitglied profilierten Angeboten per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über die jö äpp und Messenger durch den Betreiber.
Der Betreiber verarbeitet die personenbezogenen Daten des Mitglieds nur dann gemäß Punkt I.4.4, sofern das Mitglied dazu einwilligt. Diese Einwilligung erfolgt freiwillig durch separate Einwilligungserklärung und ist keine Voraussetzung für die Teilnahme am jö Bonus Club. Das Mitglied hat auch das Recht auf jederzeitigen Widerruf der Einwilligung (siehe dazu Punkt I.8.7). Wenn das Mitglied die Einwilligung widerruft, werden seine personenbezogenen Daten nicht mehr gemäß Punkt I.4.4 verarbeitet und analysiert. Das Mitglied kann dennoch (weiterhin) am jö Bonus Club teilnehmen und Bonuspunkte sammeln und einlösen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitungen wird durch den Widerruf nicht berührt.
Im Unterschied zur zielgruppen-gerichteten Werbung (Punkt I.4.3) werden personalisierte Werbemaßnahmen in einem höheren Maß individualisiert und nicht bloß an Zielgruppen ausgerichtet. Der Vorteil für das Mitglied besteht bei der personalisierten Werbung darin, dass es Werbung bekommt, an der es mit einer höheren Wahrscheinlichkeit interessiert ist als bei der zielgruppen-gerichteten Werbung. Dafür werden vom Betreiber die Stamm- und Teilnahmedaten und die Einkaufsdaten zusammengeführt und analysiert, um für ein bestimmtes Mitglied relevante und auf dessen Interessen zugeschnittene, individualisierte Werbe- und Marketingmaßnahmen zum jö Bonus Club Programm zukommen zu lassen. Die Angebote zum Sammeln und Einlösen von Ös werden auf die individuellen Bedürfnisse angepasst. Dafür wird beispielsweise die Wirtschaftskraft der Wohngegend, in der ein jö Mitglied wohnt, erhoben oder in der Einkaufs- und Wohngegend des Mitglieds vorhandene Infrastruktur (wie umliegende Tankstellen, Lebensmittelgeschäfte usw.) einem Mitglied zugeordnet. Dies ermöglicht einen höheren Individualisierungsgrad. Der Betreiber wird die beim Betreiber und bei PENNY verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen für den Betreiber und PENNY und zur Durchführung von Marktforschungsmaßnahmen weiterverwenden, analysieren und so neue Marketing-Profilingdaten gewinnen und langfristig die Passgenauigkeit der personalisierten Werbemaßnahmen erhöhen. Die separate Einwilligung des Mitglieds zur Verarbeitung seiner Daten gemäß Punkt I.4.4 ist für die Teilnahme am jö Bonus Club (Vertragsabschluss sowie seine Durchführung) nicht zwingend.
Eine Liste der von der separaten Einwilligung des Mitglieds umfassten, aktuellen jö Partner ist unter https://www.joe-club.at/partner veröffentlicht. Beim Hinzutreten neuer jö Partner stimmt das Mitglied durch Verwendung seiner jö Karte beim jeweiligen jö Partner zu, dass auch die bei diesem jö Partner gespeicherten Teilnahme- und Einkaufsdaten von der erteilten separaten Einwilligung umfasst und gemäß Punkt I.4.4 verarbeitet werden. Der Betreiber wird das Mitglied auf der Webseite unter https://www.joe-club.at/partner sowie persönlich mittels Nachricht nur per Brief oder, soweit das Mitglied seine Einwilligung dazu erklärt hat, nur per E-Mail über das Hinzutreten eines neuen jö Partners informieren. Diese Nachricht wird auch den Hinweis auf die erteilte Einwilligung zur Datenverarbeitung gemäß Punkt I.4.4 enthalten und das Mitglied auf die Erneuerung und Ausdehnung seiner Einwilligung auf den neuen jö Partner durch Verwendung der jö Karte bei diesem jö Partner hinweisen.
Bei dieser Art der Datenverarbeitung handelt es sich um Profiling gemäß Art 4 Z 4 DSGVO. Es werden Profile über das Mitglied erstellt, welche auf die Wahrscheinlichkeit zukünftiger Einkäufe schließen lassen, Ziel- und Kontrollgruppenselektionen sowie aggregierte Auswertungen für Sortimente, Regal- und Filialoptimierung vorgenommen und individualisierte Werbe- und Marketingmaßnahmen entwickelt. Das Mitglied erhält vom Betreiber per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über die jö äpp oder Messenger auf sein Einkaufsverhalten angepasste Mitteilungen über besondere Vorteilsangebote und zur Bewerbung von Produkten und Gewinnspielen des Betreibers und auch PENNY.
Die separate Einwilligung vorausgesetzt, stimmt das Mitglied auch zu, dass im Rahmen von elektronischer Werbung vom Betreiber erhoben wird, ob das Mitglied die Werbung öffnet, die darin enthaltenen Links anklickt, wie viel Zeit das Mitglied dafür verwendet, welches Endgerät es dafür verwendet, welches Betriebssystem und welchen Browser es verwendet, den ungefähren Ort des Aufrufs der Werbung über die zugewiesene IP-Adresse (die IP-Adresse wird sonst nicht weiterverarbeitet und auch nicht mit sonstigen Daten verknüpft, sondern wird lediglich die so ermittelte Postleitzahl weiter verwendet), und ob es Soziale Netzwerke nutzt und dort die Inhalte der Werbung allenfalls mit Dritten teilt.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß Punkt I.4.4 ist Art 6 Abs 1 lit a DSGVO (Einwilligung).
4.5 Profiling für personalisierte Werbung durch PENNY (Rechtsgrundlage ist Art 6 Abs 1 lit a DSGVO [Einwilligung]): Automationsunterstützte Verarbeitung und Analyse sowie Werbung mit für das Mitglied profilierten Angeboten per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über die jö äpp und Messenger durch PENNY.
PENNY verarbeitet die personenbezogenen Daten des Mitglieds nur dann gemäß Punkt I.4.5, sofern das Mitglied dazu einwilligt. Diese Einwilligung erfolgt freiwillig durch separate Einwilligungserklärung und ist keine Voraussetzung für die Teilnahme am jö Bonus Club. Das Mitglied hat auch das Recht auf jederzeitigen Widerruf der Einwilligung (siehe dazu Punkt I.8.7). Wenn das Mitglied die Einwilligung widerruft, werden seine personenbezogenen Daten nicht mehr gemäß Punkt I.4.5 verarbeitet und analysiert. Das Mitglied kann dennoch (weiterhin) am jö Bonus Club teilnehmen und Bonuspunkte sammeln und einlösen. Die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Datenverarbeitungen wird durch den Widerruf nicht berührt.
Im Unterschied zur zielgruppen-gerichteten Werbung (Punkt I.4.3) werden personalisierte Werbemaßnahmen in einem höheren Maß individualisiert und nicht bloß an Zielgruppen ausgerichtet. Der Vorteil für das Mitglied besteht bei der personalisierten Werbung darin, dass es Werbung bekommt, an der es mit einer höheren Wahrscheinlichkeit interessiert ist als bei der zielgruppen-gerichteten Werbung. Dafür werden PENNY die Mitgliederstammdaten und die Einkaufsdaten zusammengeführt und analysiert, um für ein bestimmtes jö Mitglied relevante und auf dessen Interessen zugeschnittene, individualisierte Werbe- und Marketingmaßnahmen zum jö Bonus Club Programm zukommen zu lassen. Die Angebote zum Sammeln und Einlösen von Ös werden auf die individuellen Bedürfnisse angepasst. Dafür wird beispielsweise die Wirtschaftskraft der Wohngegend, in der ein jö Mitglied wohnt, erhoben oder in der Einkaufs- und Wohngegend des Mitglieds vorhandene Infrastruktur (wie umliegende Tankstellen, Lebensmittelgeschäfte usw.) einem Mitglied zugeordnet. Dies ermöglicht einen höheren Individualisierungsgrad. PENNY, bei dem die jö Karte verwendet wurde, wird als alleiniger Verantwortlicher ausschließlich die bei ihm verarbeiteten Mitgliederstammdaten und Einkaufsdaten des Mitglieds zur automationsunterstützten Personalisierung von Werbe- und Marketingmaßnahmen für den Betreiber und PENNY und zur Durchführung von Marktforschungsmaßnahmen weiterverwenden, analysieren und so neue Marketing-Profilingdaten gewinnen und langfristig die Passgenauigkeit der personalisierten Werbemaßnahmen erhöhen. Die Mitgliederstammdaten werden von dem Betreiber erst dann an PENNY weitergegeben, wenn das Mitglied die jö Karte bei PENNY verwendet. Bei Verwendung der jö Karte bei PENNY kommt es zu einer elektronischen Kommunikation zwischen dem Betreiber und PENNY. Dabei übermittelt PENNYzunächst die Mitgliedsnummer an den Betreiber und dieser übermittelt daraufhin die betreffenden Mitgliederstammdaten an PENNY. PENNY verarbeitet dabei keine personenbezogenen Daten des Mitglieds, welche von anderen jö Partnern oder vom Betreiber stammen, sondern nur die Mitgliederstammdaten und Einkaufsdaten von Mitgliedern, welche die jö Karte bei PENNY verwendet haben, weswegen deren Mitgliederstammdaten und Einkaufsdaten bei PENNY verarbeitet sind (siehe Punkt I.4.2). Die Einwilligung des Mitglieds zur Verarbeitung seiner Daten gemäß Punkt I.4.5 ist für den Vertragsabschluss sowie seine Durchführung nicht zwingend.
Bei dieser Art der Datenverarbeitung handelt es sich um Profiling gemäß Art 4 Z 4 DSGVO. Es werden Profile über das Mitglied erstellt, welche auf die Wahrscheinlichkeit zukünftiger Einkäufe schließen lassen, Ziel- und Kontrollgruppenselektionen sowie aggregierte Auswertungen für Sortimente, Regal und Filialoptimierung vorgenommen und individualisierte Werbe- und Marketingmaßnahmen entwickelt. Das Mitglied erhält vom Betreiber per Post, E-Mail, SMS, MMS, Push-Nachrichten, Nachrichten über die jö äpp oder Messenger auf sein Einkaufsverhalten angepasste Mitteilungen über besondere Vorteilsangebote und zur Bewerbung von Produkten und Gewinnspielen PENNY.
Die separate Einwilligung vorausgesetzt, stimmt das Mitglied auch zu, dass im Rahmen von elektronischer Werbung PENNY erhoben wird, ob das Mitglied die Werbung öffnet, die darin enthaltenen Links anklickt, wie viel Zeit das Mitglied dafür verwendet, welches Endgerät es dafür verwendet, welches Betriebssystem und welchen Browser es verwendet, den ungefähren Ort des Aufrufs der Werbung über die zugewiesene IP-Adresse (die IP-Adresse wird sonst nicht weiterverarbeitet und auch nicht mit sonstigen Daten verknüpft, sondern wird lediglich die so ermittelte Postleitzahl weiter verwendet), und ob es Soziale Netzwerke nutzt und dort die Inhalte der Werbung allenfalls mit Dritten teilt.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß Punkt I.4.5 ist Art 6 Abs 1 lit a DSGVO (Einwilligung).
4.6 Profiling für Marktforschung – Reporterstellung (Rechtsgrundlage ist Art 6 Abs 1 lit f DSGVO [berechtigtes Interesse]) durch den Betreiber
Unter Marktforschung ist ein beständiges Analysieren des Marktes zu verstehen, um Informationen über Verhaltens- und Bedürfnisstrukturen zu erhalten und um Veränderungen des Marktbedürfnisses – etwa aufgrund neuer Entwicklungen – nicht zu verpassen. Im Ergebnis werden Reports erstellt, die keine personenbezogenen Daten enthalten. Für diese Reporterstellung verarbeitet der Betreiber die in Punkt I.3 genannten Daten der Mitglieder sowie – sofern ein Mitglied die Einwilligung zur Verarbeitung gemäß Punkt I.4.4 erteilt hat – auch neu generierte Daten, die einem Mitglied zugeordnet wurden (wie beispielsweise die Wirtschaftskraft der Wohngegend, in der ein jö Mitglied wohnt, oder in der Einkaufs- und Wohngegend des Mitglieds vorhandene Infrastruktur, wie umliegende Tankstellen, Lebensmittelgeschäfte usw.), um die Interessen und das Nutzer- und Kaufverhalten der Mitglieder besser zu verstehen und aufgrund dieser Einsichten Marktforschung zu betreiben. Insbesondere werden zu Marktforschungszwecken Mitglieder, die als mögliche Empfänger einer Werbe-, Marketing- und Marktforschungsmaßnahmen identifiziert wurden, in Ziel- und Kontrollgruppen aufgeteilt. Nur Mitglieder in der Zielgruppe erhalten die Maßnahmen. Dies ermöglicht die Auswertung des Erfolgs von Maßnahmen. Die jö Partner und Dritte (z.B. Lieferanten, Forschungseinrichtungen, Universitäten, etc.) erhalten vom Betreiber nur anonymisierte Daten, Reports und statistische Auswertungen für (Markt-)Forschungszwecke, zur Sortiment-, Regal-, sowie Filial- und Produktoptimierung, Supply-Chain Optimierung, etc.
Bei dieser Art der Datenverarbeitung erfolgt auch Profiling wie in Punkt I.4.3.2 beschrieben.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß Punkt I.4.6 durch den Betreiber ist Art 6 Abs 1 lit f DSGVO (berechtigtes Interesse), nämlich Marktforschung zu betreiben und die eigenen Produkte und Dienstleistungen stetig verbessern zu können. Das Mitglied hat ein Recht begründet Widerspruch gegen die Verwendung dieser Daten zu erheben. Daneben stehen dem Mitglied alle anderen Rechte nach den Art 15 ff DSGVO zu (siehe dazu Punkt I.8).
Zusätzlich zur Verarbeitung gemäß Punkt I.4.6 können jö Mitglieder auch gemäß Punkt I.4.4 eine Einwilligung für die Durchführung von Marktforschungsmaßnahmen erteilen. Im Falle einer solchen Einwilligung erfolgt die Durchführung von Marktforschungsmaßnahmen, inkl. Profiling, auch wie in Punkt I.4.4 beschrieben.
4.7 Information des Mitglieds durch den Betreiber
Der Betreiber verarbeitet die Einkaufsdaten und die Stamm- und Teilnahmedaten auch, um dem Mitglied Informationen über den jö Bonus Club ohne werblichen Charakter (z.B. technische Probleme, Anzahl an Ös, Übersicht über die Transaktionen in der jö äpp etc.) zur Verfügung zu stellen.
Rechtsgrundlage für die Datenverarbeitung gemäß Punkt I.4.7 sind die berechtigten Interessen des Betreibers nach Art 6 Abs 1 lit f DSGVO, nämlich dem Mitglied die reibungslose und komfortable Nutzung des jö Bonus Clubs zu ermöglichen.
4.8 Kommunikation mit dem Mitglied durch den Betreiber
Der Betreiber verarbeitet die Mitgliederstammdaten auch, um dem Mitglied rechtliche bedeutsame elektronische Nachrichten zu senden. Bei der Verarbeitung von rechtlich bedeutsamen Nachrichten werden das Datum und die Uhrzeit des Versendens durch den Betreiber und des Öffnens der Nachricht durch das Mitglied sowie der Inhalt der Nachricht für Nachweiszwecke vom Betreiber gespeichert.
Rechtsgrundlage für die Datenverarbeitung gemäß Punkt I.4.8 sind die berechtigten Interessen des Betreibers nach Art 6 Abs 1 lit f DSGVO, nämlich im Falle von rechtlich bedeutsamen Nachrichten das Öffnen der Nachricht und damit die Zustellung nachweisen zu können.
4.9 Adresskorrekturen und Postretouren durch den Betreiber
Der Betreiber verarbeitet die Mitgliederstammdaten auch, um Adresskorrekturen durchzuführen, bspw weil das Mitglied eine unvollständige oder falsche Adresse angegeben hat. Diese Korrekturen werden gegebenenfalls mit Adressdaten, die von Adressverlagen zugekauft werden., vorgenommen. Die korrigierten Adressen werden dann unter den Mitgliederstammdaten gespeichert. Weiters verarbeitet der Betreiber die Tatsache, dass Poststücke an eine angegebene Adresse nicht zugestellt werden können (Postretouren) sowie den Grund für diese Postretouren.
Rechtsgrundlagen für die Datenverarbeitung gemäß Punkt I.4.9 sind die Vertragserfüllung (Art 6 Abs 1 lit b DSGVO) bzw. die berechtigten Interessen des Betreibers nach Art 6 Abs 1 lit f DSGVO, nämlich die Postzustellung an das Mitglied unter der korrekten Adresse sowie die Richtigkeit der Datenverarbeitung mit korrekten Adressdaten sicherzustellen sowie Postretouren zu vermeiden.
4.10 Umfragen durch den Betreiber sowie PENNY
Der Betreiber sowie PENNY verarbeiten jeweils als alleinige Verantwortliche die Umfragedaten und Datum/Uhrzeit einer Transaktion durch das jö Mitglied, um Umfragen durchzuführen sowie die Antworten zu sammeln, um daraus statistische Auswertungen zu erstellen. Rechtsgrundlage für die Datenverarbeitung sind die berechtigten Interessen des Betreibers und PENNY nach Art 6 Abs 1 lit f DSGVO, nämlich die Kundenzufriedenheit sicherzustellen und zu erhöhen.
Sofern das Mitglied seine Einwilligung dazu erteilt hat, senden der Betreiber und PENNY dem Mitglied die Einladungen zu Umfragen auch per elektronischer Post wie E-Mail, SMS, MMS und Push-Nachrichten. Die Einwilligung ist für den Vertragsabschluss nicht erforderlich und kann vom Mitglied jederzeit gegenüber dem Betreiber und PENNY mit Wirkung für die Zukunft widerrufen werden (siehe Punkt I.8.6).
4.11 Anonymisierung für Statistiken (Rechtsgrundlage ist Art 6 Abs 1 lit f DSGVO [berechtigtes Interesse]) durch den Betreiber sowie PENNY
Der Betreiber sowie PENNYs anonymisieren jeweils als alleinige Verantwortliche die in Punkt I.3 genannten Daten der Mitglieder, sodass diese anonymisierten Daten vom Betreiber, von PENNY und von Dritten (z.B. Lieferanten, Forschungseinrichtungen, Universitäten, etc.) für statistische Auswertungen genutzt werden können. Die Anonymisierung erfolgt auch durch Erstellung von sogenannten synthetischen Daten, die zusammengefasst künstliche Daten mit ähnlichen statistischen Eigenschaften sind. Anonymisierte (bzw. synthetische) Daten lassen keine Rückschlüsse auf einzelne Personen zu.
Der Betreiber und PENNY werten die anonymisierten Daten statistisch aus, um die Interessen und das Kaufverhalten der Mitglieder besser zu verstehen und aufgrund dieser Einsichten Zielerreichungsgrade zu bemessen und die Wirksamkeit bzw. den Erfolg von Werbemaßnahmen zu erkennen und gegebenenfalls zu verbessern. Die Ergebnisse dieser Auswertungen durch den Betreiber werden PENNY und Dritten (z.B. Lieferanten, Forschungseinrichtungen, Universitäten, etc.) in anonymisierten Reports zur Verfügung gestellt. PENNY und Dritte erhalten vom Betreiber auch anonymisierte Daten, Reports und statistische Auswertungen für (Markt-)Forschungszwecke, zur Sortiment-, Regal-, sowie Filial- und Produktoptimierung, Supply-Chain Optimierung, etc.
Rechtsgrundlage für die Anonymisierung der Daten von jö Mitgliedern sind die berechtigten Interessen des Betreibers, PENNY und Dritter nach Art 6 Abs 1 lit f DSGVO, nämlich die Daten ohne Personenbezug gemäß Punkt I.4.11.2 auswerten zu können.
4.12 Durchführung von Gewinnspielen durch den Betreiber sowie PENNY
Der Betreiber sowie PENNY verarbeiten jeweils als alleinige Verantwortliche die in Punkt I.3 genannten Daten, um Gewinnspiele durchzuführen, die Gewinner auszulosen sowie um die Gewinner zu verständigen und die Gewinne zu verteilen. Diese Gewinnspiele unterliegen den jeweiligen Teilnahmebedingungen. Rechtsgrundlage für die Datenverarbeitung sind je nach Gewinnspielart entweder die berechtigten Interessen des Betreibers und PENNY nach Art 6 Abs 1 lit f DSGVO, jö Mitgliedern Gewinnspiele anbieten und durchführen zu können oder die gesondert hierzu eingeholte Einwilligung der Betroffenen.
4.13 Veranstaltungsmanagement durch den Betreiber sowie PENNY
Der Betreiber sowie PENNY verarbeiten jeweils als alleinige Verantwortliche die Stamm- und Teilnahmedaten und gegebenenfalls auch Umfragedaten von Mitgliedern, um Veranstaltungen durchzuführen, insb um Einladungen zu versenden und die erschienenen Teilnehmer zu erfassen. Gegebenenfalls können für die Teilnahme an Veranstaltungen auch Gutscheine oder Ös gewährt werden. Rechtsgrundlage für die Datenverarbeitung sind je nach Veranstaltungsart entweder die berechtigten Interessen des Betreibers und PENNY nach Art 6 Abs 1 lit f DSGVO, Veranstaltungen für jö Mitglieder durchführen zu können oder die gesondert hierzu eingeholte Einwilligung der Betroffenen.
5 Wer sind die Empfänger der Daten?
Die personenbezogenen Daten des Mitglieds werden, wie in Punkt I.4.2 beschrieben, vom Betreiber an PENNY (siehe jö-club.at/partner) bzw. umgekehrt zwecks Verwaltung der Mitgliedschaft beim jö Bonus Club sowie zur Durchführung des jö Bonus Club übermittelt, wenn und soweit es zu einer Verwendung der jö Karte bei PENNY kommt (siehe Punkt I.4.2.1). Anonymisierte Daten (d.h. Daten, bei denen jeglicher Personenbezug entfernt wurde) werden vom Betreiber an PENNY und Dritte (z.B. Lieferanten, Forschungseinrichtungen, Universitäten, etc.) weitergegeben.
Für die Erbringung einzelner Dienstleistungen im Zusammenhang mit der Durchführung des jö Bonus Clubs bedient sich PENNY unterschiedlicher Auftragsverarbeiter (z.B. EDV-Dienstleister zur Übermittlung von Daten zwischen dem Betreiber und PENNY, der Speicherung der Daten, der Anonymisierung und Synthetisierung der Daten, die Zusendung von Informationen an das Mitglied, Druckereien, Zusteller, Adressverlage, Marktforschungsinstitute).
Mit den Auftragsverarbeitern hat PENNY Auftragsverarbeiter-Verträge geschlossen, die laufend überwacht und geprüft werden. Die Auftragsverarbeiter verarbeiten die personenbezogenen Daten des Mitglieds ausschließlich auf Weisung PENNY und erhalten nur insoweit Zugang zu personenbezogenen Daten, als dies zur Erfüllung ihrer Aufgaben unbedingt erforderlich ist. Die Auftragsverarbeiter werden hinsichtlich ihrer Maßnahmen zum Datenschutz vom Betreiber laufend überwacht und geprüft. Daten werden nach Auftragserledigung durch die Auftragsverarbeiter gelöscht. Jegliche darüberhinausgehende Verarbeitung von personenbezogenen Daten durch die Auftragsverarbeiter ist ausgeschlossen.
PENNY wird sich soweit möglich nur solcher Auftragsverarbeiter bedienen, die ihren Sitz innerhalb der Europäischen Union haben und der DSGVO unterliegen. Sollte dies ausnahmsweise nicht der Fall sein, könnten für den entsprechenden Auftragsverarbeiter weniger strenge Datenschutzregeln gelten. Soweit die personenbezogenen Daten des Mitglieds in einem Land verarbeitet werden, welches nicht über ein vergleichbar hohes Datenschutzniveau wie die Europäische Union verfügt, stellt der Betreiber über vertragliche Regelungen oder sonstige rechtlich bindende Instrumente sicher, dass die personenbezogenen Daten des Mitglieds angemessen geschützt werden.
6 Datensicherheit
PENNY trifft geeignete technische und organisatorische Maßnahmen, um die im Rahmen des jö Bonus Clubs verarbeiteten Daten gegen Verlust, Zerstörung und unbefugten Zugriff zu sichern. Die Maßnahmen beziehen sich insbesondere auf die Speicherung der personenbezogenen Daten des Mitglieds sowie auf deren Übermittlung zwischen dem Betreiber und PENNY
Die Übermittlung personenbezogener Daten zwischen Mitglied, Betreiber und PENNY erfolgt jeweils verschlüsselt. Eine Verarbeitung personenbezogener Daten erfolgt in pseudonymisierter Form, sofern dies der Zweck der Verarbeitung zulässt. Die personenbezogenen Daten von Mitgliedern unterliegen strengen Zugriffsbeschränkungen und -kontrollen. Mitarbeiter des Betreibers erhalten nur Zugriff auf personenbezogene Daten, sofern dies für den Verarbeitungszweck unbedingt erforderlich ist.
7 Speicherdauer
PENNY speichert die Teilnahme- und Einkaufsdaten des Mitglieds nur solange das Mitglied am jö Bonus Club teilnimmt. Die personenbezogenen Daten des Mitglieds werden trotz Beendigung der Teilnahme nur dann PENNY länger gespeichert, wenn und insoweit dies (1) zur Einlösung von Ös, oder (2) zu Zwecken der Beweisführung erforderlich ist. Die Einkaufsdaten werden für längstens 10 Jahre (der Fristenlauf beginnt mit Erhebung des jeweiligen Datums) gespeichert. Zu Zwecken der Beweisführung können die personenbezogenen Daten nur bis zum Ablauf der gesetzlichen Verjährungsfristen in jenem Ausmaß verarbeitet werden, soweit dies zur (potentiellen) Verfahrensführung notwendig ist, wobei die gesetzliche regelmäßige Verjährungsfrist drei Jahre beträgt.
Marketing-Profilingdaten löscht PENNY nach Widerruf der Einwilligung und spätestens nach Ende der Mitgliedschaft.
8 Rechte des Mitglieds
Als betroffene Person im Sinne der DSGVO stehen dem Mitglied umfangreiche Rechte gegenüber dem für die Verarbeitung der personenbezogenen Daten Verantwortlichen zu.
Das Mitglied kann die folgenden Rechte jederzeit schriftlich gegenüber dem Betreiber als Verantwortlichen wie folgt geltend machen:
- per E-Mail an datenschutz@joe-club.at,
- per Post an Unser Ö-Bonus Club GmbH, IZ NÖ-Süd, Straße 3, Objekt 16, 2355 Wiener Neudorf,
- telefonisch unter +43 1 386-5000.
Das Recht des Mitglieds, seine Rechte hinsichtlich der Datenverarbeitung gemäß Punkt I.4.2 auch gegenüber PENNY geltend zu machen (Art 26 Abs 3 DSGVO), bleibt hiervon unberührt.
8.1 Recht auf Auskunft
Das Mitglied hat das Recht, von dem Verantwortlichen eine Bestätigung über die Verarbeitung von personenbezogenen Daten zu verlangen. Dies beinhaltet insbesondere die folgenden Informationen:
- eine Auflistung der verarbeiteten, personenbezogenen Daten;
- die Verarbeitungszwecke;
- die Kategorien personenbezogener Daten, die verarbeitet werden;
- die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
- falls möglich die geplante Dauer, für die die personenbezogenen Daten des Mitglieds gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
- das Bestehen eines Rechts auf Berichtigung oder Löschung der das Mitglied betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
- das Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
- wenn die personenbezogenen Daten nicht bei ihnen erhoben werden, alle verfügbaren Informationen über die Herkunft der Daten;
- das Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Art 22 Abs 1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für das Mitglied.
- Werden personenbezogene Daten an ein Drittland oder an eine internationale Organisation übermittelt, so hat das Mitglied das Recht, über die geeigneten Garantien gemäß Art 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.
8.2 Recht auf Berichtigung/Vervollständigung
Das Mitglied hat das Recht, von dem Verantwortlichen unverzüglich die Berichtigung unrichtiger personenbezogener Daten zu verlangen sowie – unter Berücksichtigung der Verarbeitungszwecke – die Vervollständigung unvollständiger personenbezogener Daten (auch mittels einer ergänzenden Erklärung) zu verlangen.
8.3 Recht auf Löschung
Das Mitglied hat das Recht, von dem Verantwortlichen zu verlangen, dass das Mitglied betreffende personenbezogene Daten unverzüglich gelöscht werden; der Verantwortliche ist verpflichtet, personenbezogene Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:
- Die personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weiseverarbeitet wurden, nicht mehr notwendig.
- Das Mitglied widerruft seine Einwilligung, auf die sich die Verarbeitung gemäß Art 6 Abs 1 lit a) oder Art 9 Abs 2 lit a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.
- Das Mitglied legt gemäß Art 21 Abs 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder das Mitglied legt gemäß Art 21 Abs 2 DSGVO Widerspruch gegen die Verarbeitung ein.
- Die personenbezogenen Daten wurden unrechtmäßig verarbeitet.
- Die Löschung der personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Betreiber unterliegt.
- Die personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art 8 Abs 1 DSGVO erhoben.
Das Recht auf Löschung ist insoweit eingeschränkt, als die Verarbeitung der personenbezogenen Daten erforderlich ist, etwa zur Erfüllung rechtlicher Verpflichtungen oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen (zu den weiteren Ausschlussgründen siehe Art 17 Abs 3 DSGVO).
8.4 Recht auf Einschränkung der Verarbeitung
Das Mitglied hat das Recht, von dem Betreiber die Einschränkung der Verarbeitung zu verlangen, wenn eine der folgenden Voraussetzungen gegeben ist:
- die Richtigkeit der personenbezogenen Daten vom Mitglied bestritten wird, und zwar für eine Dauer, die es dem Betreiber ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen;
- die Verarbeitung unrechtmäßig ist und das Mitglied die Löschung der personenbezogenen Datenablehnt und stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
- der Betreiber die personenbezogenen Daten für die Zwecke der Verarbeitung nicht länger benötigt, das Mitglied diese jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigt; oder
- das Mitglied Widerspruch gegen die Verarbeitung gemäß Art 21 Abs 1 DSGVO eingelegt hat, solange noch nicht feststeht, ob die berechtigten Gründe des Betreibers dem Mitglied gegenüber überwiegen.
8. 5 Recht auf Datenübertragbarkeit
Das Mitglied hat das Recht, die das Mitglied betreffenden personenbezogenen Daten, die das Mitglied dem Betreiber bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und diese Daten einem anderen Verantwortlichen ohne Behinderung durch den Betreiber, dem die personenbezogenen Daten bereitgestellt wurden, zu übermitteln, sofern die Verarbeitung auf einer Einwilligung gemäß Art 6 Abs 1 lit a DSGVO oder auf einem Vertrag gemäß Art 6 Abs 1 lit b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt. Bei der Ausübung seines Rechts auf Datenübertragbarkeit hat das Mitglied das Recht, zu erwirken, dass die personenbezogenen Daten direkt vom Betreiber einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
8.6 Recht auf Widerspruch
Das Mitglied hat das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung von den das Mitglied betreffenden personenbezogenen Daten, die aufgrund von Art 6 Abs 1 lit e oder f DSGVO erfolgt, Widerspruch einzulegen. Der Betreiber verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten des Mitglieds überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so hat das Mitglied das Recht, jederzeit Widerspruch gegen die Verarbeitung von dem Mitglied betreffenden personenbezogenen Daten, zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Das Mitglied kann der Verarbeitung gem Punkt I.4.3 (Profiling für ziegruppen-gerichtete Werbung) daher jederzeit und ohne Angabe von Gründen widersprechen.
Der Widerspruch kann postalisch an die Unser Ö-Bonus Club GmbH, IZ NÖ-Süd, Straße 3, Objekt 16, 2355 Wiener Neudorf, per E-Mail an datenschutz@joe-club.at oder telefonisch unter +43 1 386-5000 erfolgen.
8.7 Recht auf jederzeitigen Widerruf der Einwilligung
Das Mitglied hat das Recht, seine datenschutzrechtliche Einwilligungserklärung jederzeit mit Wirkung für die Zukunft gegenüber der Unser Ö-Bonus Club GmbH (IZ NÖ-Süd, Straße 3, Objekt 16, 2355 Wiener Neudorf) bzw PENNY , Kontaktdaten, postalisch, per E-Mail an datenschutz@joe-club.at, bzw datenschutz@penny.at telefonisch (+43 1 386-5000), im persönlichen Mitglieder-Bereich auf der Webseite https://www.joe-club.at oder über die jö äpp,zu widerrufen.
Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.
9 Recht auf Beschwerde bei einer Aufsichtsbehörde
Das Mitglied hat unbeschadet eines anderweitigen verwaltungsrechtlichen oder gerichtlichen Rechtsbehelfs das Recht auf Beschwerde bei einer Aufsichtsbehörde, insbesondere in dem Mitgliedstaat seines Aufenthaltsorts, seines Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes, wenn das Mitglied der Ansicht ist, dass die Verarbeitung der das Mitglied betreffenden personenbezogenen Daten gegen die DSGVO verstößt. Zuständige Aufsichtsbehörde für den jö Bonus Club ist die Österreichische Datenschutzbehörde, Barichgasse 40-43, 1030 Wien, die das Mitglied auch telefonisch unter +43 1 52 152-0 und per E-Mail unter dsb@dsb.gv.at erreichen kann.
10 Datenschutzbeauftragter
Der Datenschutzbeauftragte steht dem Mitglied für alle Fragen und Hinweise rund um den Datenschutz im jö Bonus Club zur Verfügung und ist per E-Mail unter datenschutz@penny.at sowie postalisch unter: Datenschutzbeauftragter, c/o PENNY, IZ NÖ-Süd, Straße 3, Objekt 16, 2355 Wiener Neudorf erreichbar.
II Datenschutzerklärung für jö&GO!
- Allgemeines
Dieser Teil II der Datenschutzerklärung informiert das Mitglied über die Verarbeitung personenbezogener Daten im Sinne des Art 4 Z 1 DSGVO ("Daten") im Zusammenhang mit der Nutzung von jö&GO! in der jö äpp und ergänzt den allgemeinen Teil der Datenschutzerklärung des jö Bonus Clubs (Teil I. oben).
Die in diesem Teil II beschriebene Datenverarbeitung findet ausschließlich dann statt, wenn das Mitglied jö&GO! in der jö äpp nutzt.
2. Begriffsbestimmungen
Die in Zusammenhang mit jö&GO! und in diesem Teil II verwendeten Begriffe haben folgende Bedeutung:
"jö&GO!": ein Express-Kassenprozess, der im Rahmen der jö äpp aktiviert und verwendet werden kann.
"Mitglied": Personen, deren Antrag auf Teilnahme am jö Bonus Club zugelassen wurde und die am jö Bonus Club teilnehmen; diese Personen sind "betroffene Personen" im Sinne des Art 4 Z 1 DSGVO.
"Nutzer": all jene Mitglieder des jö Bonus Clubs, die im Aktivierungsprozess das Einverständnis zu den AGB für jö&GO! erklärt haben, womit der Nutzungsvertrag zustande gekommen ist.
"BCI": die Blue Code International AG.
"Bluecode": die von BCI betriebene Zahlungsfunktion bzw. Bezahlnetzwerk ("Bluecode-Scheme").
"SDK": ein in die jö äpp eingebundenes Software Development Kit von BCI, um die Zahlungsfunktion Bluecode technisch zur Verfügung zu stellen.
"Zahlungsabwickler": der Vertragspartner des Nutzers betreffend die Zahlungsabwicklung. Dies ist entweder die an jö&GO! teilnehmende Hausbank des Nutzers oder, wenn die Hausbank des Nutzers nicht an jö&GO! teilnimmt, ein sonstiger Dienstleister. Der Zahlungsabwickler schließt mit dem Nutzer anlässlich der Aktivierung von jö&GO! im Freischaltungsprozess im SDK einen Vertrag betreffend die Zahlungsabwicklung ab..
"Hausbank": eine Bank, bei welcher der Nutzer ein Girokonto hat.
"Teilnehmende Hausbank": eine am Bluecode-Scheme und an jö&GO! teilnehmende Hausbank, bei welcher der Nutzer ein für Bluecode verwendbares Girokonto hat.
"jö Partner": jö Partner laut Punkt I.2.3 der an jö&GO! teilnimmt und in dessen Verkaufsstellen oder anderen Vertriebskanälen (Webshop etc.) der Nutzer mit der Zahlungsfunktion Bluecode über jö&GO! bezahlen kann.
"Acquirer": der Zahlungsdienstleister des jö Partners.
"Smartphone": ein Mobiltelefon, Tablet oder ähnliches Gerät, auf dem die jö äpp ausgeführt werden kann.
"Einkaufsdaten": Einkaufsdaten laut Punkt I.3 einschließlich folgender zusätzlicher Datenkategorien:
- Acquirer Transaction ID (ein vom Acquirer zufällig generierter alpha-numerischer Wert zur Unterscheidung jeder Transaktion; nur für Bluecode-Zahlungen über jö&GO!)
- Mittels Bluecode bezahlter Betrag
- Zahlungsmethode (z.B. bar, Art und Aussteller der Zahlungskarte, Art der elektronischen Zahlung [eps, PayPal, jö&GO! etc.])
Diese drei vorgenannten Datenkategorien sind derzeit von der Einwilligung zum Profiling nicht erfasst und, werden auch nicht profiliert – siehe Punkt II.4.5.
"Teilnahmedaten": Teilnahmedaten laut Punkt I.3 einschließlich folgender zusätzlicher Datenkategorien:
- Teilnahme bei jö&GO! (Datum und Uhrzeit des Vertragsabschlusses, Geräte ID des Smartphones, Bezeichnung des Smartphones und Vertragsnummer)
- Membership IDs wie in Punkt II.4.1 beschrieben
- Einstellung "jö&GO! immer aufrufen" (ja/nein; bei Auswahl "ja" wird beim Aufruf der digitalen jö Karte in der jö äpp "jö&GO!" automatisch geöffnet)
- Name, Bank Identifier Code (BIC) und BLZ der Hausbank des Nutzers
- Teilnahme der Hausbank an jö&GO!
- Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler (ja/nein)
Diese sechs vorgenannten Datenkategorien sind derzeit von der Einwilligung zum Profiling nicht erfasst und werden auch nicht profiliert – siehe Punkt II.4.5.
3. Verantwortlicher
Der Betreiber ist im Zusammenhang mit jö&GO! für folgende Zwecke alleiniger Verantwortlicher im Sinne des Art 4 Z 7 DSGVO:
- Aktivierung von jö&GO! (Punkt II.4.1)
- Statistische Auswertungen, Kundeninformation und Verrechnungskontrolle (Punkt II.4.3)
- Werbung ohne Profiling (Punkt II.4.4)
Der Betreiber und der jeweilige jö Partner, bei dem mittels Bluecode über jö&GO! bezahlt wird, sind für folgende Zwecke gemeinsame Verantwortliche im Sinne des Art 26 DSGVO:
- Durchführung von jö&GO! (Punkt II.4.2)
Der Datenschutzbeauftragte des Betreibers steht für alle Fragen und Hinweise rund um den Datenschutz im Zusammenhang mit jö&GO! zur Verfügung und ist per E-Mail unter datenschutz@joe-club.at sowie postalisch unter: Datenschutzbeauftragter, c/o Unser Ö-Bonus Club GmbH, IZ NÖ-Süd, Straße 3, Objekt 16, 2355 Wiener Neudorf erreichbar.
4. Zwecke und Rechtsgrundlag
4.1 Aktivierung von jö&GO!
Um jö&GO! nutzen zu können, muss das Mitglied zunächst eine Aktivierung in der jö äpp durchlaufen. Teil dieser Aktivierung ist die Auswahl des Zahlungsabwicklers, die Erstellung des sogenannten "Bluecode-Wallet" mithilfe des SDK am Smartphone des Mitglieds und die Verlinkung des Bluecode-Wallets mit einem Hashwert (das ist eine mittels einer nicht umkehrbaren mathematischen Funktion errechnete Zeichenfolge) der digitalen jö Kartennummer des Mitglieds sowie die Freischaltung des Bankkontos des Mitglieds durch den Zahlungsabwickler. Der Prozess läuft überblicksmäßig wie folgt ab:
- Zur Auswahl der Hausbank kann das Mitglied den Namen, den BIC oder die Bankleitzahl (BLZ) der Hausbank in der Banksuche erfassen, um aus den Suchergebnissen seine Hausbank auszuwählen. Alternativ kann das Mitglied seine Bankkarte scannen, aus welcher der IBAN ausgelesen und aus diesem der BIC der Hausbank ermittelt wird. Findet das Mitglied seine Hausbank in der Auswahl der teilnehmenden Hausbanken nicht, so kann jö&GO dennoch mittels eines anderen Zahlungsabwicklers verwendet werden.
- Nach der ausschließlich am Smartphone erfolgenden Authentifizierung des Mitglieds, bei der durch den Betreiber keine Daten des Mitglieds verarbeitet werden, erstellt das SDK das "Bluecode-Wallet" am Smartphone des Mitglieds. Zur Verknüpfung des Bluecode-Wallets mit der digitalen jö Karte des Mitglieds erzeugt der Betreiber aus der Kartennummer der jö äpp des Mitglieds einen Hashwert und übermittelt diesen an BCI. BCI erzeugt für das Bluecode-Wallet eine "Membership ID", verknüpft diese mit dem Hashwert der Kartennummer des Mitglieds und übermittelt die Membership ID an den Betreiber. Der Betreiber speichert die Membership ID und die Informationen über die "Teilnahme bei jö&GO!" (siehe Punkt II.2.14) bei den Teilnahmedaten des Mitglieds. Am Smartphone des Mitglieds wird die Membership ID zur Identifikation des Bluecode-Wallets des Mitglieds abgespeichert.
- Anschließend ruft das SDK die Registrierungsstrecke des jeweiligen Zahlungsabwicklers mit dem in 1 oben ermittelten BIC zur Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler für Bluecode auf. Die Freischaltung der Zahlungsfunktion wird ausschließlich durch den Zahlungsabwickler durchgeführt und liegt jedenfalls außerhalb der Einflusssphäre des Betreibers. Für die bei der Freischaltung der Zahlungsfunktion vorgenommene Datenverarbeitung, einschließlich einer etwaigen Prüfung der Bonität des Mitglieds, ist ausschließlich der Zahlungsabwickler verantwortlich. Die bei der Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler verarbeiteten Daten werden nicht an den Betreiber übermittelt. Nach erfolgreicher Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler wird das Mitglied vom SDK zur jö äpp zurückgeleitet und die Information "erfolgreiche Freischaltung der Zahlungsinformation" gespeichert.
Die Information "erfolgreiche Freischaltung der Zahlungsinformation" wird vom Betreiber verarbeitet, um das Mitglied, solange die Freischaltung der Zahlungsinformation nicht erfolgreich ist, daran erinnern zu können, dass die volle Funktionalität von jö&GO! erst mit Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler genutzt werden kann.
Der Betreiber ist im Zusammenhang mit der oben unter Punkt II.4.1.1 beschriebenen Datenverarbeitung ausschließlich für die Erfassung des Namens, des BIC und der BLZ der Hausbank des Mitglieds, die Berechnung des Hashwerts der Kartennummer des Mitglieds, die Erhebung der Membership ID und die Speicherung der Informationen über die "Teilnahme bei jö&GO!", der erfolgreichen Freischaltung der Zahlungsinformation und der Einstellung "jö&GO! immer aufrufen" verantwortlich. Die Verarbeitung der genannten Daten ist für die Nutzung von jö&GO! erforderlich. Name, BIC und BLZ der Hausbank des Mitglieds werden, falls die Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler erfolgreich war, gespeichert und für die in den Punkten II.4.3 bis II.4.4 genannten Zwecke weiterverarbeitet. Rechtsgrundlage für die Datenverarbeitung durch den Betreiber zwecks Aktivierung von jö&GO! ist Art 6 Abs 1 lit b DSGVO (Vertragserfüllung).
4.2 Durchführung von jö&GO!
4.2.1 Bei jeder Verwendung von jö&GO! erhebt der jö Partner statt der Kartennummer der jö Karte (siehe Punkt I.4.2.1) den vom SDK bereitgestellten Bluecode-Token (durch Scan oder manuelle Eingabe an der Kassa [POS], Eingabe im Webshop etc.), sendet diesen an BCI und erhält von BCI den Hashwert der digitalen Kartennummer der jö äpp des Nutzers zurück. Der jö Partner ermittelt anschließend mithilfe des Betreibers die Kartennummer der jö Karte zum Hashwert der digitalen Kartennummer. Die weitere Verarbeitung der Daten erfolgt wie in Punkt I.4.2.1 beschrieben. Für diese Phase der Datenverarbeitung sind der Betreiber und der jeweilige jö Partner gemeinsame Verantwortliche im Sinne des Art 26 DSGVO. Für die Verwendung des Bluecode-Tokens für Zwecke der Zahlung ist der Betreiber nicht verantwortlich und der Betreiber verarbeitet in diesem Zusammenhang auch keine Daten.
Rechtsgrundlage für die Datenverarbeitung gemäß Punkt II.4.2.1 ist Art 6 Abs 1 lit b DSGVO (Vertragserfüllung) wie in Punkt I.4.2.2 beschrieben.
4.3 Statistische Auswertungen, Kundeninformation und Verrechnungskontrolle
Der Betreiber verarbeitet die Stamm- und Teilnahmedaten und die Einkaufsdaten auch, um
- statistische Auswertungen, z.B. Anzahl und Volumen der Transaktionen pro Zahlungsabwickler, Volumen der mittels jö&GO! abgewickelten Transaktionen usw., zu erstellen. Diese statistischen Auswertungen enthaltenen ausschließlich aggregierte Informationen ohne Personenbezug;
- den Nutzer über den Ausfall eines Zahlungsabwicklers oder das Ausscheiden einer Hausbank aus jö&GO! etc. zu informieren; oder
- dem Betreiber die Kontrolle der Verrechnung mit Dritten (nicht Verrechnung mit dem Nutzer) zu ermöglichen.
Rechtsgrundlage für die Datenverarbeitung gemäß Punkt II.4.3.1 sind die berechtigten Interessen des Betreibers nach Art 6 Abs 1 lit f DSGVO, nämlich
- die Planung und Steuerung von jö&GO!;
- die Erfüllung von Sorgfalts- und Mitteilungspflichten gegenüber den Nutzern; bzw
- die korrekte und nachvollziehbare Verrechnung mit Dritten (nicht Verrechnung mit dem Nutzer).
4.4 Zielgruppen-gerichtete Werbung
Die Verarbeitung der Daten für zielgruppen-gerichtete Werbezwecke durch den Betreiber, erfolgt wie in Punkt I.4.3.1 beschrieben, wobei zusätzlich die Datenkategorie "Teilnahme bei jö&GO!" (siehe oben Punkt II.2.14), "Membership-ID" (siehe oben Punkt II.2.14), "mittels Bluecode bezahlter Betrag" (siehe oben Punkt II.2.13) und "Zahlungsmethode" (siehe oben Punkt II.2.13) verarbeitet werden.
Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten gemäß Punkt II.4.4 durch den Betreiber ist Art 6 Abs 1 lit f DSGVO (berechtigtes Interesse), nämlich die Bewerbung von Produkten, Gewinnspielen sowie Vorteilsangeboten. Der Nutzer muss sich nicht aktiv um die Information zu Vorteilsangeboten und neuen Waren oder Dienstleistungen bemühen, sondern diese wird ihm zielgruppen-gerichtet bereitgestellt.
4.5 Personalisierte Werbung
Sollten Sie bereits eine Einwilligung zum Profiling für personalisierte Werbung gegeben haben, dann werden diesem Profiling die erweiterten Datenkategorien laut der Definition der "Teilnahmedaten" und der "Einkaufsdaten" in diesem Teil II Punkt 2.13 und 2.14 der Datenschutzerklärung nicht zugrunde gelegt. Nur wenn Sie eine neue Einwilligungserklärung abgeben, die diese Datenkategorien umfasst, werden die erweiterten Datenkategorien dem Profiling zugrunde gelegt.
5. Empfänger
Zusätzlich zu der in Punkt I.5.1 beschriebenen Übermittlung von Daten vom Betreiber an den jö Partner bzw. umgekehrt, übermittelt der Betreiber gemäß Punkt II.4.2.1 die Kartennummer der jö Karte zum Hashwert der digitalen Kartennummer zur Durchführung von jö&GO! an den jö Partner.
6. Speicherdauer
Die Teilnahme- und die Einkaufsdaten des Nutzers werden vom Betreiber grundsätzlich so lange wie in Punkt I.7 beschrieben gespeichert. Die zusätzlichen, für jö&GO! spezifischen Datenkategorien gemäß Punkt II.2.13 und II.2.14 werden vom Betreiber aber jedenfalls nur, solange der Nutzer einen aufrechten Vertrag zur Nutzung von jö&GO! hat, gespeichert.