1. ALLGEMEINES

1.1 Dieser Teil II. der Datenschutzerklärung informiert das Mitglied über die Verarbeitung personenbezogener Daten im Sinne des Art 4 Z 1 DSGVO („Daten“) im Zusammenhang mit der Nutzung von jö&GO! in der jö äpp und ergänzt den allgemeinen Teil der Datenschutzerklärung von PENNY im jö Bonus Club.

1.2 Die in diesem Teil II. beschriebene Datenverarbeitung findet ausschließlich dann statt, wenn das Mitglied jö&GO! in der jö äpp nutzt.

2. BEGRIFFSBESTIMMUNGEN

Die in Zusammenhang mit jö&GO! und in diesem Teil II. verwendeten Begriffe haben folgende Bedeutung:

2.1 „jö&GO!“: ein Express-Kassenprozess, der im Rahmen der jö äpp aktiviert und verwendet werden kann.

2.2 „Mitglied“: Personen, deren Antrag auf Teilnahme am jö Bonus Club zugelassen wurde und die am jö Bonus Club teilnehmen; diese Personen sind „betroffene Personen“ im Sinne des Art 4 Z 1 DSGVO.

2.3 „Nutzer“: all jene Mitglieder des jö Bonus Clubs, die im Aktivierungsprozess das Einverständnis zu den AGB für jö&GO! erklärt haben, womit der Nutzungsvertrag zustande gekommen ist.

2.4 „BCI“: die Blue Code International AG.

2.5 „Bluecode“: die von BCI betriebene Zahlungsfunktion bzw. Bezahlnetzwerk („Bluecode-Scheme“).

2.6 „SDK“: ein in die jö äpp eingebundenes Software Development Kit von BCI, um die Zahlungsfunktion Bluecode technisch zur Verfügung zu stellen.

2.7 „Zahlungsabwickler“: der Vertragspartner des Nutzers betreffend die Zahlungsabwicklung. Dies ist entweder die an jö&GO! teilnehmende Hausbank des Nutzers oder, wenn die Hausbank des Nutzers nicht an jö&GO! teilnimmt, ein sonstiger Dienstleister. Der Zahlungsabwickler schließt mit dem Nutzer anlässlich der Aktivierung von jö&GO! im Freischaltungsprozess im SDK einen Vertrag betreffend die Zahlungsabwicklung ab.

2.8 „Hausbank“: eine Bank, bei welcher der Nutzer ein Girokonto hat.

2.9 „Teilnehmende Hausbank“: eine am Bluecode-Scheme und an jö&GO! teilnehmende Hausbank, bei welcher der Nutzer ein für Bluecode verwendbares Girokonto hat.

2.10 „jö Partner“: jö Partner laut Punkt I.2.3 der an jö&GO! teilnimmt und in dessen Verkaufsstellen oder anderen Vertriebskanälen (Webshop etc.) der Nutzer mit der Zahlungsfunktion Bluecode über jö&GO! bezahlen kann. Dies ist in unserem Fall PENNY.

2.11 „Acquirer“: der Zahlungsdienstleister des jö Partners, in unserem Fall PENNY.

2.12 „Smartphone“: ein Mobiltelefon, Tablet oder ähnliches Gerät, auf dem die jö äpp ausgeführt werden kann.

2.13 „Einkaufsdaten“: „Einkaufsdaten“ laut Punkt I.3 der jö Datenschutzerklärung einschließlich folgender zusätzlicher Datenkategorien:

• Acquirer Transaction ID (ein vom Acquirer zufällig generierter alpha-numerischer Wert zur Unterscheidung jeder Transaktion; nur für Bluecode-Zahlungen über jö&GO!)
• Mittels Bluecode bezahlter Betrag
• Zahlungsmethode (zB bar, Art und Aussteller der Zahlungskarte, Art der elektronischen Zahlung [eps, PayPal, jö&GO! etc])

Diese drei vorgenannten Datenkategorien sind derzeit von der Einwilligung zum Profiling nicht erfasst und, werden auch nicht profiliert – siehe Punkt II.4.5.

2.14 „Teilnahmedaten“: „Teilnahmedaten“ laut Punkt I.3 der jö Datenschutzerklärung einschließlich folgender zusätzlicher Datenkategorien:

• Teilnahme bei jö&GO! (Datum und Uhrzeit des Vertragsabschlusses, Geräte ID des Smartphones, Bezeichnung des Smartphones und Vertragsnummer)
• Membership IDs wie in Punkt II.4.1 beschrieben
• Einstellung „jö&GO! immer aufrufen“ (ja/nein; bei Auswahl „ja“ wird beim Aufruf der digitalen jö Karte in der jö äpp „jö&GO!“ automatisch geöffnet)
• Name, Bank Identifier Code (BIC) und BLZ der Hausbank des Nutzers
• Teilnahme der Hausbank an jö&GO!
• Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler (ja/nein)

Diese sechs vorgenannten Datenkategorien sind derzeit von der Einwilligung zum Profiling im jö Bonus Club nicht erfasst und werden auch nicht profiliert – siehe Punkt II.4.5.

3. VERANTWORTLICHER

3.2. Der Betreiber und PENNY, bei dem mittels Bluecode über jö&GO! bezahlt wird, sind für folgende Zwecke gemeinsame Verantwortliche im Sinne des Art 26 DSGVO:

Abwicklung des Kundenbindungsprogramms (Punkt II.4.2)

3.3. Der Datenschutzbeauftragte von PENNY steht für alle Fragen und Hinweise rund um den Datenschutz im Zusammenhang mit der jö&GO! Funktion bei PENNY zur Verfügung und ist per E-Mail unter datenschutz@penny.at sowie postalisch unter: Datenschutzbeauftragter, c/o PENNY GmbH, IZ NÖ-Süd, Straße 3, Objekt 16, 2355 Wiener Neudorf erreichbar.

4. ZWECKE UND RECHTSGRUNDLAGE

4.1 Aktivierung von jö&GO!

4.1.1 Um jö&GO! nutzen zu können, muss das Mitglied zunächst eine Aktivierung in der jö äpp durchlaufen. Teil dieser Aktivierung ist die Auswahl des Zahlungsabwicklers, die Erstellung des sogenannten „Bluecode-Wallet“ mithilfe des SDK am Smartphone des Mitglieds und die Verlinkung des Bluecode-Wallets mit einem Hashwert (das ist eine mittels einer nicht umkehrbaren mathematischen Funktion errechnete Zeichenfolge) der digitalen jö Kartennummer des Mitglieds sowie die Freischaltung des Bankkontos des Mitglieds durch den Zahlungsabwickler. Der Prozess läuft überblicksmäßig wie folgt ab:

1. Zur Auswahl der Hausbank kann das Mitglied den Namen, den BIC oder die Bankleitzahl (BLZ) der Hausbank in der Banksuche erfassen, um aus den Suchergebnissen seine Hausbank auszuwählen. Alternativ kann das Mitglied seine Bankkarte scannen, aus welcher der IBAN ausgelesen und aus diesem der BIC der Hausbank ermittelt wird. Findet das Mitglied seine Hausbank in der Auswahl der teilnehmenden Hausbanken nicht, so kann jö&GO dennoch mittels eines anderen Zahlungsabwicklers verwendet werden.

2. Nach der ausschließlich am Smartphone erfolgenden Authentifizierung des Mitglieds, bei der durch den Betreiber keine Daten des Mitglieds verarbeitet werden, erstellt das SDK das „Bluecode-Wallet“ am Smartphone des Mitglieds. Zur Verknüpfung des Bluecode-Wallets mit der digitalen jö Karte des Mitglieds erzeugt der Betreiber aus der Kartennummer der jö äpp des Mitglieds einen Hashwert und übermittelt diesen an BCI. BCI erzeugt für das Bluecode-Wallet eine „Membership ID“, verknüpft diese mit dem Hashwert der Kartennummer des Mitglieds und übermittelt die Membership ID an den Betreiber. Der Betreiber speichert die Membership ID und die Informationen über die „Teilnahme bei jö&GO!“ (siehe Punkt II.2.14) bei den Teilnahmedaten des Mitglieds. Am Smartphone des Mitglieds wird die Membership ID zur Identifikation des Bluecode-Wallets des Mitglieds abgespeichert.

3. Anschließend ruft das SDK die Registrierungsstrecke des jeweiligen Zahlungsabwicklers mit dem in 1 oben ermittelten BIC zur Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler für Bluecode auf. Die Freischaltung der Zahlungsfunktion wird ausschließlich durch den Zahlungsabwickler durchgeführt und liegt jedenfalls außerhalb der Einflusssphäre des Betreibers. Für die bei der Freischaltung der Zahlungsfunktion vorgenommene Datenverarbeitung, einschließlich einer etwaigen Prüfung der Bonität des Mitglieds, ist ausschließlich der Zahlungsabwickler verantwortlich. Die bei der Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler verarbeiteten Daten werden nicht an den Betreiber übermittelt. Nach erfolgreicher Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler wird das Mitglied vom SDK zur jö äpp zurückgeleitet und die Information „erfolgreiche Freischaltung der Zahlungsinformation“ gespeichert.

Die Information „erfolgreiche Freischaltung der Zahlungsinformation“ wird vom Betreiber verarbeitet, um das Mitglied, solange die Freischaltung der Zahlungsinformation nicht erfolgreich ist, daran erinnern zu können, dass die volle Funktionalität von jö&GO! erst mit Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler genutzt werden kann.

4.1.2 Der Betreiber ist im Zusammenhang mit der oben unter Punkt II.4.1.1 beschriebenen Datenverarbeitung ausschließlich für die Erfassung des Namens, des BIC und der BLZ der Hausbank des Mitglieds, die Berechnung des Hashwerts der Kartennummer des Mitglieds, die Erhebung der Membership ID und die Speicherung der Informationen über die „Teilnahme bei jö&GO!“, der erfolgreichen Freischaltung der Zahlungsinformation und der Einstellung „jö&GO! immer aufrufen“ verantwortlich. Die Verarbeitung der genannten Daten ist für die Nutzung von jö&GO! erforderlich. Name, BIC und BLZ der Hausbank des Mitglieds werden, falls die Freischaltung der Zahlungsfunktion durch den Zahlungsabwickler erfolgreich war, gespeichert und für die in den Punkten II.4.3 bis II.4.4 genannten Zwecke weiterverarbeitet. Rechtsgrundlage für die Datenverarbeitung durch den Betreiber zwecks Aktivierung von jö&GO! ist Art 6 Abs 1 lit b DSGVO (Vertragserfüllung).

4.2 Abwicklung des Kundenbindungsprogramms über jö&GO! 

4.2.1 Bei jeder Verwendung von jö&GO! erhebt PENNY statt der Kartennummer der jö Karte (siehe Punkt I.4.2.1) den vom SDK bereitgestellten Bluecode-Token (durch Scan oder manuelle Eingabe an der Kassa [POS], Eingabe im Webshop etc.), sendet diesen an BCI und erhält von BCI den Hashwert der digitalen Kartennummer der jö äpp des Nutzers zurück. PENNY ermittelt anschließend mithilfe des Betreibers die Kartennummer der jö Karte zum Hashwert der digitalen Kartennummer. Die weitere Verarbeitung der Daten erfolgt wie in Punkt I.4.2.1 beschrieben. Für diese Phase der Datenverarbeitung sind der Betreiber und PENNY gemeinsame Verantwortliche im Sinne des Art 26 DSGVO. Für die Verwendung des Bluecode-Tokens für Zwecke der Zahlung ist der Betreiber nicht verantwortlich und der Betreiber verarbeitet in diesem Zusammenhang auch keine Daten.

4.2.2 Rechtsgrundlage für die Datenverarbeitung gemäß Punkt II.4.2.1 ist Art 6 Abs 1 lit b DSGVO (Vertragserfüllung), wie in Punkt I.3. beschrieben.

4.3 Werbung mit Profiling

Sollten Sie bereits eine Einwilligung zum Profiling gegeben haben, dann werden diesem Profiling die erweiterten Datenkategorien laut der Definition der „Teilnahmedaten“ und der „Einkaufsdaten“ in diesem Teil II Punkt 2.13 und 2.14 der Datenschutzerklärung nicht zugrunde gelegt. Nur wenn Sie eine neue Einwilligungserklärung abgeben, die diese Datenkategorien umfasst, werden die erweiterten Datenkategorien dem Profiling zugrunde gelegt.

5. EMPFÄNGER

5.1 Zusätzlich zu der in Punkt I.5.1 beschriebenen Übermittlung von Daten vom Betreiber an PENNY bzw. umgekehrt, übermittelt der Betreiber gemäß Punkt II.4.2.1 die Kartennummer der jö Karte zum  Hashwert der digitalen Kartennummer zur Abwicklung des Kundenbindungsprogramms über jö&GO! an PENNY.