Lissi ID-Wallet: Datenschutzhinweise / Privacy Policy
Datenschutzinformationen für die Identitätsmanagement-Applikation „Lissi ID Wallet“
vom 28. Juni 2024
Deutsche Version - rechtlich bindend
1. Verantwortlicher für die Datenverarbeitung
Name und Kontaktdaten des Verantwortlichen
Lissi GmbH
Eschersheimer Landstraße 6
60322 Frankfurt am Main
info@lissi.id
2. Datenschutzbeauftragter
Unser Datenschutzbeauftragter ist die heyData GmbH, Schützenstraße 5, 10117 Berlin, www.heydata.eu, datenschutz@heydata.eu.
3. Informationen über die Verarbeitung personenbezogener Daten
Bei der Nutzung der App werden grundsätzlich keine Daten durch die Verantwortlichen verarbeitet. Sämtliche Daten sind nur auf Ihrem Endgerät gespeichert und die Verantwortlichen haben keinen Zugriff auf diese Daten.
Die App ist allerdings mit einem digitalen Postfachservice („Mediation Agent“) verbunden, der von der Verantwortlichen betrieben wird. Für die Nutzung dieses Postfaches wird die Installations-ID des Nutzers der App gespeichert und verarbeitet. Nur so können eingehende Nachrichten dem jeweiligen Nutzer zugeordnet werden.
Eingehende Nachrichten von Teilnehmern an den Nutzer werden zunächst verschlüsselt an den Postfachservice gesandt und von dem Postfachservice an die App des Nutzers weitergeleitet. Der Empfänger der Nachricht übermittelt dem Sender einen dedizierten Schlüssel, welchen er zuvor vom Postfachservice erhalten hat. Der Schlüssel ist beim Postfachservice mit der Installations-ID verknüpft. Eine Zuordnung von Personen ist durch die Lissi GmbH hieraus nicht möglich. Nach erfolgreicher Zustellung der Nachrichten an die App werden die Nachrichten vom Postfachservice gelöscht. Sollte die App des Nutzers nicht zu erreichen sein, so werden die Nachrichten so lange auf dem Postfachservice gespeichert, bis sie an die App zugestellt werden können. Da die Nachrichten verschlüsselt sind und erst auf dem Endgerät des Nutzers entschlüsselt werden, haben die Verantwortlichen selbst keinen Zugriff auf den Inhalt der Nachrichten. Der Postfachservice ist ausschließlich in der Lissi ID-Wallet integriert, welche über den Play- und Appstore verfügbar ist. Die Lissi ID-Wallet BETA verfügt NICHT über diese Postfachfunktion.
Zur Verbesserung der Nutzererfahrung erstellt die App bei Fehlern oder Abstürzen der Anwendung automatisierte Absturzberichte, diese enthalten neben einem Fehlerbericht, der den Grund des Absturzes enthält, weitere Daten wie das Datum und die Uhrzeit des Absturzes, der Modellname des verwendeten Gerätes, die installierte Betriebssystemversion, die eingestellte Sprache und das Land des Nutzers. Zur Verarbeitung dieser Daten verwendet die App Dienstleistungen von Microsofts App Center. Der Verantwortlichen und dem Microsoft App Center ist die Identifizierung des Nutzers aus diesen Daten nicht möglich.
Die App verwendet Microsoft App Center Analytics, das basierend auf der Nutzung der App, anonymisierte Daten erhebt, welche eine statistische Auswertung der folgenden Merkmale ermöglichen: Anzahl der Nutzer in bestimmten Zeiträumen, Verteilung der Modelle auf denen die App installiert wurde, tägliche Nutzung der Anwendung pro Nutzer, Land der Installation, vorausgewählte Sprache des Nutzers sowie die verwendete Version der App. Diese Daten sind dem einzelnen Nutzer ebenfalls nicht zuzuordnen.
4. Rechtsgrundlage der Verarbeitung
Die Installations-ID wird zu vertraglichen Zwecken (Art. 6 Abs. 1 lit. b DSGVO) verarbeitet. Diese wird den Verantwortlichen automatisch durch das Endgerät zur Verfügung gestellt. Ohne die Verarbeitung der Installations-ID können die Verantwortlichen die eingehenden Nachrichten nicht dem einzelnen Nutzer zuordnen und zustellen. Der Vertragszweck (Austausch von Identitätsinformationen) würde nicht erreicht werden können.
Die Fehleranalyse sowie sonstige Analyse erfolgt im berechtigten Interesse der Verantwortlichen (Art. 6 Abs. 1 lit. f DSGVO). Diese Analysen dienen der Funktionsfähigkeit bzw. Verbesserung der App. Eine automatisierte Entscheidungsfindung findet nicht statt.
5. Empfänger und Empfängerkategorien
Im Hinblick auf die Datenweitergabe an Dritte (Empfänger außerhalb der Verantwortlichen) ist zunächst zu beachten, dass eine Übermittlung grundsätzlich nicht stattfindet und geplant ist. Eine Weitergabe kann jedoch im Einzelfall erfolgen, sofern wir dazu gesetzlich verpflichtet sind oder der Nutzer seine Einwilligung erteilt hat. Dies kann in den folgenden Fällen der Fall sein:
öffentliche Stellen und Institutionen (z.B. Finanzbehörden, Strafverfolgungsbehörden, Familiengerichte, Grundbuchämter) bei Vorliegen einer gesetzlichen oder behördlichen Verpflichtung,
Wirtschaftsprüfer,
Dienstleister, die wir im Rahmen von Auftragsverarbeitungsverhältnissen heranziehen.
6. Übermittlung in Drittstaaten
Eine Übermittlung in Drittstaaten findet nicht statt.
7. Speicherdauer
Wir verarbeiten und speichern Ihre personenbezogenen Daten, solange es für die Erfüllung unserer vertraglichen Pflichten und Wahrnehmung unserer Rechte erforderlich ist.
Die Installations-ID wird bei der Deinstallation der App vom Gerät des Nutzers gelöscht.
8. Informationen über Rechte der betroffenen Personen
Als betroffene Person hat der Nutzer in Bezug auf die Verarbeitung seiner personenbezogenen Daten folgende Rechte:
● Recht auf Auskunft (Artikel 15 DS-GVO)
● Recht auf Berichtigung (Artikel 16 DS-GVO)
● Recht auf Löschung („Recht auf Vergessenwerden“) (Artikel 17 DS-GVO)
● Recht auf Einschränkung der Verarbeitung (Artikel 18 DS-GVO)
● Recht auf Datenübertragbarkeit (Artikel 20 DS-GVO)
● Recht auf Widerspruch (Artikel 21 DS-GVO)
● Recht auf Widerruf von Einwilligungen (Artikel 7 Absatz 3 DS-GVO)
● Recht auf Beschwerde bei der Aufsichtsbehörde (Artikel 77 DS-GVO)
Zur Ausübung der Rechte kann sich der Nutzer unter den in Ziffer 1 genannten Kontaktinformationen an uns wenden.
8.1 Recht auf Auskunft
Das Recht auf Auskunft bedeutet insbesondere, dass der Nutzer das Recht hat, von der Verantwortlichen eine Bestätigung darüber zu verlangen, ob den Nutzer betreffende personenbezogene Daten verarbeitet werden. Ist dies der Fall, hat der Nutzer außerdem ein Recht auf Auskunft über diese personenbezogenen Daten und auf die in Artikel 15 Absatz 1 DS-GVO aufgeführten Informationen.
8.2 Recht auf Berichtigung
Das Recht auf Berichtigung bedeutet insbesondere, dass der Nutzer das Recht hat, von der Verantwortlichen unverzüglich die Berichtigung den Nutzer betreffender unrichtiger personenbezogener Daten sowie die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.
8.3 Recht auf Löschung („Recht auf Vergessenwerden“)
Das Recht auf Löschung bedeutet, dass der Nutzer grundsätzlich das Recht hat, von der Verantwortlichen zu verlangen, dass den Nutzer betreffende personenbezogene Daten unverzüglich gelöscht werden, und wir verpflichtet sind, personenbezogene Daten unverzüglich zu löschen, sofern einer der in Artikel 17 Absatz 1 DSGVO aufgeführten Gründe zutrifft. Das kann beispielsweise der Fall sein, wenn personenbezogenen Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind (Art. 17 Abs. 1 lit. a DSGVO).
Soweit wir die personenbezogenen Daten öffentlich gemacht haben und wir zu deren Löschung verpflichtet sind, sind wir außerdem verpflichtet unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, zu treffen, um andere für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass eine betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt hat.
Das Recht auf Löschung („Recht auf Vergessenwerden“) gilt ausnahmsweise nicht, soweit die Verarbeitung aus den in Artikel 17 Absatz 3 DS-GVO aufgeführten Gründen erforderlich ist. Das kann beispielsweise der Fall sein, soweit die Verarbeitung zur Erfüllung einer rechtlichen Verpflichtung oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist (Art. 17 Abs. 3 lit. a und e DSGVO ).
8.4 Recht auf Einschränkung der Verarbeitung
Das Recht auf Einschränkung bedeutet, dass der Nutzer das Recht hat, von der Verantwortlichen die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Artikel 18 Absatz 1 DSGVO aufgeführten Voraussetzungen gegeben ist. Das kann beispielsweise der Fall sein, wenn der Nutzer die Richtigkeit der personenbezogenen Daten bestreiten. Die Einschränkung der Verarbeitung erfolgt in diesem Fall für eine Dauer, die es der Verantwortlichen ermöglicht, die Richtigkeit der personenbezogenen Daten zu überprüfen.
8.5 Recht auf Datenübertragbarkeit
Das Recht auf Datenübertragbarkeit bedeutet, dass der Nutzer grundsätzlich das Recht hat, die ihn betreffenden personenbezogenen Daten, die er der Verantwortlichen bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, und der Nutzer das Recht hat, diese Daten einem anderen Verantwortlichen ohne Behinderung durch uns zu übermitteln, sofern die Verarbeitung auf einer Einwilligung oder auf einem Vertrag beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt.
Bei der Ausübung des Rechts auf Datenübertragbarkeit hat der Nutzer außerdem grundsätzlich das Recht, zu erwirken, dass die personenbezogenen Daten direkt von uns einem anderen Verantwortlichen übermittelt werden, soweit dies technisch machbar ist.
8.6 Recht auf Widerspruch
Auf das Recht auf Widerspruch weisen wir den Nutzer spätestens zum Zeitpunkt der ersten Kommunikation ausdrücklich hin. Das Recht auf Widerspruch besteht in den folgenden Fällen:
8.6.1 Recht auf Widerspruch aus Gründen, die sich aus der besonderen Situation der betroffenen Person ergeben
Der Nutzer hat das Recht, aus Gründen, die sich aus seiner besonderen Situation ergeben, jederzeit gegen die Verarbeitung ihn betreffender personenbezogener Daten, die im berechtigten oder öffentlichen Interesse erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling.
Im Falle eines Widerspruchs aus Gründen, die sich aus einer besonderen Situation ergeben, verarbeiten wir die betroffenen personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten des Nutzers überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.
8.6.2 Recht auf Widerspruch gegen Direktwerbung
Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht.
Im Falle eines Widerspruchs gegen Verarbeitung für Zwecke der Direktwerbung, verarbeiten wir die betroffenen personenbezogenen Daten nicht mehr für diese Zwecke.
8.7 Recht auf Widerruf von Einwilligungen
Wenn die Verarbeitung auf einer Einwilligung beruht, hat der Nutzer das Recht, seine Einwilligung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit, der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt. Vom Recht auf Widerruf wird der Nutzer bei Erteilung der Einwilligung informiert.
8.8 Recht auf Beschwerde bei einer Aufsichtsbehörde
Der Nutzer hat unter das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die für uns zuständige Aufsichtsbehörde ist:
Der Hessische Datenschutzbeauftragte
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telefon: 0611 14080
Telefax: 0611 1408 – 900
E-Mail: poststelle@datenschutz.hessen.de
9. Stand und Änderung dieser Datenschutzinformationen
Diese Datenschutzinformation hat den Stand November 2023.
Aufgrund technischer Weiterentwicklung, Änderung der Funktion der App und / oder aufgrund geänderter gesetzlicher und / oder behördlicher Vorgaben kann es notwendig werden, diese Datenschutzinformationen anzupassen. Die jeweils aktuelle Datenschutzinformation kann jederzeit in der App abgerufen werden.
DATA PROTECTION INFORMATION
FOR THE IDENTITY APPLICATION "LISSI ID WALLET"
LEGAL INFORMATION
DISCLAIMER/PRIVACY
AS OF 28. June 2024
1. Responsible Entity’s name and contact information
Responsible for the processing of data on this website:
Lissi GmbH
Eschersheimer Landstraße 6
60322 Frankfurt am Main
info@lissi.com
2. Contact of data protection officer
Our data protection officer is heyData GmbH, Schützenstraße 5, 10117 Berlin, http://www.heydata.eu , datenschutz@heydata.eu.
3. Information on the processing of personal data
As a basic principle, no data is processed by the Responsible Entity when the app is used. All data is stored only on your end device and the Responsible Entity has no access to this data.
However, the app is associated with a digital mail box service (“Mediation Agent”), which is operated by the Responsible Entity. The installation ID of the User is saved and processed for the User of this mail box. This is the only way that incoming messages can be assigned to the appropriate User.Incoming messages of participants to the User are then encrypted and sent to the mail box service and forwarded by the mail box service to the User's app. The Recipient of the message transmits a dedicated code to the Sender which he had previously received from the mail box service. The code is linked to the installation ID with the mail box service.
Assignment to an individual person by Lissi GmbH is not possible. Once the messages are successfully delivered to the app, the messages are deleted from the mail box service. If the app of the user cannot be reached, the messages are stored on the mail box service until they can be delivered to the app. Because the messages are encrypted and are decrypted only on the User’s end device, the Responsible Entity has no access to the content of the messages. The mailbox service is only integrated in the Lissi ID-Wallet, which is available via the Play- and Appstore. The Lissi ID-Wallet BETA does NOT have this mailbox function.
To enhance the user experience, in the event of errors or application crashes, the app generates automated crash reports which contain the cause of the crash in addition to an error report and additional data such as the date and time of the crash, the model number of the used device, the installed operating system version, the set language and User’s country.
The app uses Microsoft’s App Center services to process this data. The Responsible Entity and the Microsoft App Center are not able to identify the User from this data.The app uses Microsoft App Center Analytics, which collects anonymized data that is based on the app usage, which make possible a statistical analysis of the following features: The number of users in certain periods of time, distribution of the models on which the app was installed, daily use of the application per user, country of installation, the User’s preselected language and the version of the app that was used. This data is also not associated with the individual users.
4. Legal basis of the processing
The installation ID is processed for contractual purposes (Sect. 6 Para. 1 specified in b) GDPR). This is automatically made available by the Responsible Entity through the end device. The Responsible Entity cannot assign or deliver incoming messages to the individual users without processing the installation ID. The purpose of the contract (exchange of identity information) could not be achieved.Error analysis and other analyses are carried out in the legitimate interests of the Responsible Entity (Sect. 6 Para. 1 specified in f) General Data Protection Regulation - GDPR). These analyses serve to ensure the functionality and/or improvement of the app.There is no automated decision making.
5. Recipients and categories of recipients
With regard to the transfer of data to third parties (recipients apart from the Responsible Entity), it should be stated at the outset that fundamentally the transfer of data does not take place and is not planned. However, transfer of data may take place in individual cases where we are legally obligated to do so or the User has provided consent. This may be the case in the following cases:
● Public authorities and institutions (e.g. tax authorities, prosecution authorities, family courts, land registry offices) if there is a legal or official obligation
● auditors
● service providers who we engage within the scope of order processing relationships.
6. Data transfer to third countries.
Transfers are not made to third countries.
7. Storage duration
We process and store your personal data as long it is required for the fulfilment of our contractual obligations and protection of our rights.The Installation ID is deleted when the app is uninstalled from the User's device.
8. Information about data subjects rights
As an affected person, the User retains the following rights related to the processing of his or her personal data:
Right of access (Article 15 GDPR)
Right to rectification (Article 16 GDPR)
Right to erasure (“right to be forgotten”) (Article 17 GDPR)
Right to restriction of processing (Article 18 GDPR)
Right to data portability (Article 20 GDPR)
Right to object (Article 21 GDPR)
Right to withdraw consent (Article 7 Para. 3 GDPR)
Right to lodge a complaint with a supervisory authority (Article 77 GDPR)
To exercise these rights, the User may contact us via the contact information provided under No. 1.
8.1 Right to information
The Right to Information means, in particular, that the User retains the right to request confirmation from the Responsible Entity as to whether the User’s personal data is being processed. If this is the case, the User also retains the Right to Information about such personal data and the information listed in Article 15 Para. 1 GDPR.
8.2. Right to rectification
The Right to Rectification means, in particular, that the User retains the right to request from the Responsible Entity without undue delay the rectification of inaccurate personal data related to the User and the right to have incomplete data completed.
8.3. Right to erasure ("right to be forgotten").
The Right to Erasure means, in particular, that the User fundamentally retains the right to request from the Responsible Entity that personal data related to the User be deleted without undue delay, and we are obligated to delete personal data without undue delay, provided that one of the reasons listed in Article 17 Para. 1 GDPR applies. This can be the case if, for example, the personal data is no longer needed for the purposes for which it was collected or for which it was processed (Art. 17 Para. 1 specified in a) GDPR).
In the event that we have made personal data public and we are obligated to delete it, we are additionally obligated to take appropriate measures, taking into account available technology and the cost of implementation, including the technical nature, to inform other data processing responsible entities which process the personal data that an affected party has requested that they delete all links to this personal data or copies or replications of said personal data.
As an exception, the Right to Erasure (“right to be forgotten”) shall not apply provided that said processing is necessary for reasons listed in Article 17 Para. 3 GDPR. This may be the case, for example, when the data processing is required to satisfy a legal obligation or to assert, exercise or defend legal claims (Art. 17 Para. 3 specified in a) and e) GDPR).
8.4. Right to restriction of processing
The Right to Restriction of Processing means that the User retains the right to request from the Responsible Entity that processing of data be restricted when one of the conditions listed in Article 18 Para. 1 GDPR is satisfied. This can be the case if, for example, the User has disputed the accuracy of the personal data. In this case, processing is restricted for the amount of the time that the Responsible Entity requires in order to check the accuracy of the personal data.
8.5. Right to data portability
Right to Data Portability means that the User retains the fundamental right to obtain his or her personal data, which he has provided the Responsible Entity, in a structured, commonly used and machine-readable format, and the User retains the right to transmit this data to a different responsible entity without restriction, provided that processing is based on consent or a contract, and that the processing is carried out in an automated manner.
In addition, when exercising the right to data portability, the User retains the fundamental right to obtain personal data so that it is transferred directly from us to a different responsible entity, provided that this is technically feasible.
8.6. Right of objection
We expressly advise the User of his or her Right to Object no later than at the time of the first communication. The Right to Object applies in the following cases:
8.6.1 Right to object on grounds relating to the particular situation of the data subject.
The User retains the right to object at any time to the processing of his or her data that is carried out in his or her or public interest on grounds relating to his or her particular situation; this also applies to profiling that is based on these provisions. In the event of an objection on grounds relating to an exceptional situation, we will no longer process the affected personal data unless we are able to demonstrate compelling legitimate grounds for said processing that override the interests, rights and freedoms of the User, or the processing serves to assert, exercise or defend legal claims.
8.6.2. Right to object to direct marketing
If the personal data is processed for direct marketing purposes, you retain the right to file an objection to the processing of your personal data for the purposes of such marketing; this applies as well to profiling, to the extent that it is connected to such direct marketing. In the event of an objection to processing for direct marketing purposes, we will no longer process the affected personal data for these purposes.
7.7. Right to withdraw consent
Where processing is based on consent, the User retains the right to withdraw such consent at any time. The withdrawal of consent shall not affect the lawfulness of processing based on the consent that was provided prior to the withdrawal. The User shall be informed of the right to withdraw consent prior to giving consent.
8.8. Right to complain to a supervisory authority
The User retains the right to lodge a complaint with a supervisory authority. The relevant supervisory authority for us is:
Der Hessische Datenschutzbeauftragte [The Data Protection Officer of the Hessian State Chancellery]
Gustav-Stresemann-Ring 1
65189 Wiesbaden
Telephone: 0611 14080
Fax: 0611 1408 - 900
E-mail: poststelle@datenschutz.hessen.de
9. Version and changes to this data protection information
This data protection information was updated in November 2023. Due to technical advancements, changes to the app functionality and/or due to changing legal and/or official requirements, it may become necessary to update this data protection information. The current data protection information is available at any time in the app.