Wir haben diese Datenschutzerklärung verfasst, um Ihnen gemäß der Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 zu erklären, welche Informationen wir sammeln, wie wir Daten verwenden und welche Entscheidungsmöglichkeiten Sie als Nutzer dieser Lösung haben.
Leider liegt es in der Natur der Sache, dass diese Erklärungen sehr technisch klingen, wir haben uns bei der Erstellung jedoch bemüht, die wichtigsten Dinge so einfach und klar wie möglich zu beschreiben.
Grundsätzlich besteht zwischen Beckon und dem Endnutzer keinerlei Verbindung. Diese besteht ausschließlich zwischen Beckon und dem „Betreiber“ sowie zwischen dem Endnutzer und dem „Betreiber“. Der „Betreiber“ (bspw. ein Fitnessstudio) ist ein Kunde von Beckon und nimmt Beckon (Petar Beck) als Auftragsverarbeiter in seiner Datenschutzerklärung auf.
In diesem Dokument sind aber mehrere Betriebsmodi von Beckon beschrieben, sodass der Betreiber nicht gezwungenerweise Beckon (Petar Beck) als Auftragsverarbeiter deklarieren muss.
Im Management Portal verwaltet der Betreiber seine „Beckon IoT Geräte“ sowie Benutzer. Das Portal ist ausschließlich über eine verschlüsselte Verbindung erreichbar und Kennwörter werden automatisiert generiert und unterliegen einem vorgegebenen Sicherheits-Niveau.
Es wurde bei der Entwicklung explizit darauf geachtet, dass die Sicherheitsbestimmungen sehr hoch sind, sodass das Risiko für einen Fremdzugriff auf die gespeicherten Daten minimiert wird.
Über den Inhalt der gespeicherten Daten lesen Sie bitte in den nächsten Punkten.
„Beckon IoT Geräte“ operieren entweder mit ihrem eingebauten Internet-Modul oder in einem verschlüsselten Kunden-WLAN. Die Verbindung zum Knotenpunkt (Beckon Hub) liegt im EU-Rechtsraum und erfolgt über eine verschlüsselte Verbindung.
Hinsichtlich des Datenschutzes hat diese Verbindungsmethode jedoch keine Relevanz. Siehe weitere Punkte.
Der Nutzer interagiert mit der Beckon-Lösung über die App (iOS bzw. Android). Die App verbindet sich mit dem Knotenpunkt (Beckon Hub) über eine verschlüsselte Verbindung.
Hinsichtlich des Datenschutzes hat diese Verbindungsmethode jedoch keine Relevanz. Siehe weitere Punkte.
Beckon funktioniert grundsätzlich so, dass Beckon IoT-Geräte sich aktiv zum Knotenpunkt in der Cloud (Beckon Hub) verbinden und dort auf Fernsteuerung durch den Hub warten.
Wenn ein autorisierter Benutzer eine Aktion auf einem Beckon IoT Gerät ausführen möchte, dann wird diese vom Beckon Hub das jeweilige Beckon IoT Gerät über eine verschlüsselte Verbindung instruiert, diese Aktion auszuführen. Das Beckon IoT-Gerät hat keine Kenntnis darüber, für welchen Benutzer diese Aktion ausgeführt wurde. Deshalb ist ein Datenleck auf dem Gerät vor Ort nicht möglich.
Die App aktiviert Berechtigungen mittels Aktivierungs-Codes des Betreibers. Diese Aktivierungs-Codes sind nur einmalig nutzbar. Bei der ersten Aktivierung erhält die App einen Registrierungs-Token, den sie speichert. Die App bekommt in weiterer Folge eine liste der autorisierten Aktionen.
Die App sammelt dann die jeweiligen Schlüssel von den Beckons in der Reichweite und übermittelt diese bei einer Ausführung an den Hub. Somit wird das „Location spoofing“ technisch ausgeschlossen. Weil die App auch keine Kenntnis über die mögliche Beziehung zu einem Benutzerdatensatz hat, wird ein Datenleck auf Ebene der App ausgeschlossen.
Beckon wurde so konzipiert, dass eine vollständig anonyme Nutzung ermöglich wird. Der Betreiber kann frei wählen, welche Daten er von seinem Benutzer im Beckon Management Portal hinterlegt.
Der Betreiber wählt vollständige Daten-Form und hinterlegt Vorname, Nachname, E-Mail und Telefonnummer des Benutzers. In dieser Fall muss der Betreiber Beckon als generellen Auftragsverarbeiter deklarieren und dem Kunden gegenüber kommunizieren.
Der Betreiber wählt eine anonymisierte Daten-Form und hinterlegt nur einen Nutzer mit einer Email-Adresse oder mit einer Telefonnummer ohne Namen. In diesem Fall hat Beckon keinen Bezug zur Person. Der Betreiber muss in diesem Fall Beckon nicht als generellen Auftragsverarbeiter deklarieren, jedoch muss der Kunde zustimmen, dass seine Rufnummer an Beckon weitergegeben wird.
Der Betreiber einen neuen Benutzer ohne Name, E-Mail oder Telefonnummer an. Diesem Benutzer wird eine Berechtigung erteilt und ein Aktivierungs-Code wird generiert. Der Betreiber übergibt dem Benutzer diesen Aktivierungs-Code persönlich. Beckon hat keinerlei Informationen zum Benutzer und kann auch keine Beziehung zu einer realen Person herstellen. Nur der Betreiber kennt die Beziehung zwischen der „Beckon ID“ (Beckon Nutzer) und dem Kunden des Betreibers.
Das zugrunde liegende Konzept von Beckon ermöglicht eine 100% unabhängig Datenverarbeitung in Bezug auf jegliche Teilnehmer der Signalverarbeitungskette wie Apple/Google, Internet-/Mobilfunk-Anbieter zwischen dem Benutzer und Beckon. Die App hat absolut keinerlei persönliche Informationen über ihren Benutzer. Diese Information wird erst auf dem Beckon Server hergestellt, sofern die jeweilige Option zur Datenerfassung vom Betreiber ausgewählt wurde.
Die Beckon App bekommt bei der ersten Aktivierung einer Berechtigung eine anonyme Registrierungs-ID vom Beckon Hub und speichert diese. Diese wird dann auf dem Beckon Hub erst mit einem Benutzer des Betreibers verknüpft – sobald dessen Berechtigung aktiviert wurde. Auf diese Weise kann die Beckon App Berechtigungen von mehreren Betreibern aktiv haben. Die App hat also keine Kenntnis darüber, welchem Nutzerprofil sie zugeordnet wurde und somit wird eine 100% anonyme Nutzung ermöglicht, sofern der Betreiber die entsprechende Datenerfassungsmethode wählt.
Abhängig von der vom Betreiber gewählten Methode der Datenerfassung werden maximal nachfolgende, persönliche Daten vom Benutzer erfasst:
Im Beckon Management Portal werden vom Benutzer nachfolgende Metriken gesammelt und auch für den Betreiber ausgewertet:
Beckon wurde in Vorbereitung Wiedereröffnung nach dem Lockdown zur Unterstützung bei der Zutrittskontrolle durch COVID-Bestimmungen entwickelt.
Es ist möglich – in vollständiger Berücksichtigung der gewählten Datenerfassungsmethode des Betreibers – COVID-Bestätigungen zu übermitteln. Der Betreiber kann wählen, ob diese nur eigenverantwortlich übermittelt werden müssen oder ob diese durch den Betreiber auch überprüft werden müssen ehe der Benutzer berechtigte Aktionen ausführen darf.
Abhängig von der vom Benutzer gewählten Übermittlungsmethode wird der Benutzer für einen bestimmten Zeitraum bestätigt. Sofern das dem Betreiber ausreicht, darf der Benutzer umgehend die berechtigte Aktion ausführen. Wenn der Betreiber diese erst überprüfen muss, dann wird der Benutzer vertröstet und automatisch informiert, sobald der Betreiber seine Bestätigungsübermittlung überprüft hat. Für den Zeitraum der geltenden Bestätigung darf der Benutzer dann Aktionen ausführen.
Der Benutzer kann frei entscheiden, welche Übermittlungsmethode er nutzt. Der Betreiber gibt das selbst vor.
Zusätzlich hat Beckon die Möglichkeit, offizielle QR-Codes von COVID-Testbestätigungen automatisiert zu überprüfen. Dabei wird der Bestätigungszeitraum automatisch von der Gültigkeitsdauer der COVID-Testbestätigung übernommen und auch die Initialen des Benutzers überprüft. Natürlich wird auch geprüft, ob das Testergebnis positiv oder negativ ist. In diesem Fall wird die Übermittlungsmethode via Scan eines QR-Codes einer COVID-Testbestätigung automatisiert überprüft, ohne dass der Betreiber dies manuell machen muss wie bspw. bei Impfpässen.
Vom Benutzer wird dabei ausschließlich der übermittelte QR-Code-Inhalt gespeichert, nicht aber die erfassten Daten hinter der URL, die im QR-Code kodiert ist. Dazu wird der Zeitstempel der Überprüfung beim Datensatz vermerkt.
In letzter Minute wurden die COVID-Bestimmungen für Fitnessstudios insofern gelockert, sodass nur mehr eigenverantwortliche Sicherstellung der COVID-Bestimmung erfolgen muss. Der Betreiber kann in diesem Fall die tägliche Notwendigkeit einer „einfachen Bestätigung“ aktivieren. In diesem Fall muss der Benutzer täglich einmal bestätigen, dass er eigenverantwortlich die COVID-Bestimmungen einhält und kann uneingeschränkt seine berechtigten Aktionen ausführen.
Beckon IoT-Geräte werden in Zonen zusammengefasst und der Betreiber kann festlegen, welche dieser Geräte (bspw. Haupteingang) einen Check-In auslösen. Wenn der Benutzer einen Check-In ausgelöst hat, dann wird er automatisch auf einer Anwesenheitsliste aufgenommen. In dieser Liste verbleibt er für die vom Betreiber festgelegten Dauer. Er kann vorzeitig die Aktion „Check-Out“ ausführen. Am Ende dieser Aufenthaltsdauer wird er darüber informiert, dass seine maximale Aufenthaltsdauer erreicht wurde und dass er jetzt entweder einen neuen Check-In auslösen möge oder den Raum zu verlassen hat.
Das System lässt auch keine Personen rein, wenn die maximale Anzahl von anwesenden Personen erreicht wurde. Es wird darüber hinaus auch in der App angezeigt, wie viele Plätze derzeit verfügbar sind, sofern der Betreiber ein Limit definiert hat.
Basierend auf den dauerhaft gespeicherten Check-Ins und Check-Outs kann nachträglich rekonstruiert werden, mit welchen Personen gemeinsam in der selben Zone waren.
In Zusammenhang mit der COVID-Kontrolle werden nachfolgende Daten erfasst. Diese sind optional und der Betreiber kann festlegen, welche Übermittlungsmethoden freigegeben werden.
Es werden keine externen Daten dauerhaft gespeichert. Bei der QR-Code-Überprüfung wird aber der Gültigkeitszeitraum übernommen und basierend auf der automatisierten Überprüfung der Datensatz automatisch als „überprüft“ markiert, sofern die externen Daten mit den Daten des Benutzers übereinstimmen und das Testergebnis „negativ“ ist.
Wie im Kapitel „Bausteine der Lösung“ näher beschrieben, sind alle Kommunikationswege von Beckon verschlüsselt. Zusätzlich dazu bietet die technologische Innovation der „Closed Loop“-Kommunikation von Beckon die Sicherheit, dass Angriffsvektoren wie zB. Man-In-The-Middle-Attacken vermieden werden. Es erfolgt laufend ein Schlüsselaustausch zwischen Beckon Hub und den Beckon IoT Geräten. Die App muss proaktiv diese Information lokal vom Beckon IoT Gerät abholen und den Server übermitteln. Die eigentliche Kommunikation zwischen Beckon IoT Gerät und dem Beckon Hub erfolgt also über die sichere Verbindung zwischen denen. Damit ist Beckon sicherer als vergleichbare, „smarte“ Zutrittslösungen.
Für weitere Fragen sind wir jederzeit für Sie via Email und Telefon erreichbar. Falls dieses Dokument etwaige Fragen nicht vollständig beantwortet hat, dann kontaktieren Sie uns bitte über das Kontaktformular auf der Homepage und wir werden sowohl auf Ihre Fragen eingehen als auch dieses Dokument in weiterer Folge ergänzen.
Vielen Dank!
Wir haben diese Datenschutzerklärung verfasst, um Ihnen gemäß der Vorgaben der Datenschutz-Grundverordnung (EU) 2016/679 zu erklären, welche Informationen wir sammeln, wie wir Daten verwenden und welche Entscheidungsmöglichkeiten Sie als Nutzer dieser Lösung haben.
Leider liegt es in der Natur der Sache, dass diese Erklärungen sehr technisch klingen, wir haben uns bei der Erstellung jedoch bemüht, die wichtigsten Dinge so einfach und klar wie möglich zu beschreiben.
Wenn Sie heutzutage Webseiten besuchen, werden gewisse Informationen automatisch erstellt und gespeichert, so auch auf dieser Webseite. Wenn Sie unsere Webseite so wie jetzt gerade besuchen, speichert unser Webserver (Computer auf dem diese Webseite gespeichert ist) automatisch Daten wie
in Dateien (Webserver-Logfiles). In der Regel werden Webserver-Logfiles zwei Wochen gespeichert und danach automatisch gelöscht. Wir geben diese Daten nicht weiter, können jedoch nicht ausschließen, dass diese Daten beim Vorliegen von rechtswidrigem Verhalten eingesehen werden.
Unsere Webseite verwendet HTTP-Cookies, um nutzerspezifische Daten zu speichern. Im Folgenden erklären wir, was Cookies sind und warum Sie genutzt werden, damit Sie die folgende Datenschutzerklärung besser verstehen.
Persönliche Daten, die Sie uns auf dieser Website elektronisch übermitteln, wie zum Beispiel Name, E-Mail-Adresse, Adresse oder andere persönlichen Angaben im Rahmen der Übermittlung eines Formulars oder Kommentaren im Blog, werden von uns gemeinsam mit dem Zeitpunkt und der IP-Adresse nur zum jeweils angegebenen Zweck verwendet, sicher verwahrt und nicht an Dritte weitergegeben. Wir nutzen Ihre persönlichen Daten somit nur für die Kommunikation mit jenen Besuchern, die Kontakt ausdrücklich wünschen und für die Abwicklung der auf dieser Webseite angebotenen Dienstleistungen und Produkte. Wir geben Ihre persönlichen Daten ohne Zustimmung nicht weiter, können jedoch nicht ausschließen, dass diese Daten beim Vorliegen von rechtswidrigem Verhalten eingesehen werden. Wenn Sie uns persönliche Daten per E-Mail schicken – somit abseits dieser Webseite – können wir keine sichere Übertragung und den Schutz Ihrer Daten garantieren. Wir empfehlen Ihnen, vertrauliche Daten niemals unverschlüsselt per E-Mail zu übermitteln.
Ihnen stehen laut den Bestimmungen der DSGVO und des österreichischen Datenschutzgesetzes (DSG) grundsätzlich die folgende Rechte zu:
Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich bei der Aufsichtsbehörde beschweren, welche in Österreich die Datenschutzbehörde ist, deren Webseite Sie unter https://www.dsb.gv.at/ finden.
In der folgenden Datenschutzerklärung informieren wir Sie darüber, ob und wie wir Daten Ihres Besuchs dieser Website auswerten. Die Auswertung der gesammelten Daten erfolgt in der Regel anonym und wir können von Ihrem Verhalten auf dieser Website nicht auf Ihre Person schließen. Mehr über Möglichkeiten dieser Auswertung der Besuchsdaten zu widersprechen erfahren Sie in der folgenden Datenschutzerklärung.
Wir verwenden https um Daten abhörsicher im Internet zu übertragen (Datenschutz durch Technikgestaltung Artikel 25 Absatz 1 DSGVO). Durch den Einsatz von TLS (Transport Layer Security), einem Verschlüsselungsprotokoll zur sicheren Datenübertragung im Internet können wir den Schutz vertraulicher Daten sicherstellen. Sie erkennen die Benutzung dieser Absicherung der Datenübertragung am kleinen Schlosssymbol links oben im Browser und der Verwendung des Schemas https (anstatt http) als Teil unserer Internetadresse.
Wir verwenden auf unserer Website das Analyse-Tracking Tool Google Analytics (GA) des amerikanischen Unternehmens Google LLC (1600 Amphitheatre Parkway Mountain View, CA 94043, USA). Google Analytics sammelt Daten über Ihre Handlungen auf unserer Website. Wenn Sie beispielsweise einen Link anklicken, wird diese Aktion in einem Cookie gespeichert und an Google Analytics versandt. Mithilfe der Berichte, die wir von Google Analytics erhalten, können wir unsere Website und unser Service besser an Ihre Wünsche anpassen. Im Folgenden gehen wir näher auf das Tracking Tool ein und informieren Sie vor allem darüber, welche Daten gespeichert werden und wie Sie das verhindern können.