Lingvist – Datenschutzrichtlinie

(1) Einführung und Zusammenfassung

  1. Wir sind Lingvist Technologies OÜ, eine im estnischen Handelsregister unter der Nummer 12397511 eingetragene Gesellschaft mit beschränkter Haftung mit Sitz in J. Poska 10–17, 10126 Tallinn, Estland.

  2. Ihre Nutzung unserer Dienste setzt voraus, dass Sie unseren Nutzungsbedingungen und dieser Datenschutzrichtlinie zustimmen. Wenn Sie mit einer Bestimmung in einem der beiden Dokumente nicht einverstanden sind, dürfen Sie unsere Dienste nicht nutzen.

  3. Wir werden Ihre personenbezogenen Daten nur verarbeiten, wenn:

    • Sie der Verarbeitung zugestimmt haben, dies für einen oder mehrere bestimmte Zwecke zu tun; Sie können Ihre Einwilligung jederzeit widerrufen;

    • es für die Erfüllung unserer vertraglichen Verpflichtungen Ihnen gegenüber erforderlich ist;

    • das Gesetz dies von uns verlangt; oder

    • wir ein berechtigtes Interesse daran haben. Dies beinhaltet die Verarbeitung Ihrer Daten für wissenschaftliche Forschungszwecke, statistische Zwecke und Direktmarketingzwecke, die alle zusätzlichen Sicherheitsvorkehrungen unterliegen.

  4. Wir teilen Ihnen mit, welche Art von Daten wir über Sie verarbeiten, zu welchen Zwecken und wie wir sie verarbeiten. In dieser Richtlinie wird auch erläutert, welche besonderen Rechte Sie in Bezug auf Ihre personenbezogenen Daten haben und wie Sie diese Rechte ausüben können. Weitere Informationen dazu finden Sie in Artikel (5) dieser Richtlinie.

  5. Wenn Sie Fragen oder Beschwerden zu dieser Richtlinie oder zur Art und Weise der Verarbeitung Ihrer personenbezogenen Daten haben, können Sie sich per E-Mail an unseren Datenschutzbeauftragten wenden: dpo@lingvist.io. Wenn Sie feststellen, dass Ihre Rechte verletzt wurden, können Sie eine Beschwerde bei der zuständigen Aufsichtsbehörde (estnische Datenschutzbehörde) einreichen, deren Kontaktdaten Sie unter http://www.aki.ee/ einsehen können.

  6. Diese Datenschutzrichtlinie gilt ab dem 2018.05.25. Wir können diese Datenschutzrichtlinie von Zeit zu Zeit ändern. Die überarbeitete Richtlinie wird zum Zeitpunkt ihrer Veröffentlichung auf unserer Website oder zu einem späteren Zeitpunkt wirksam, sofern dies in der überarbeiteten Richtlinie angegeben ist. Wenn wir diese Richtlinie überarbeiten, werden wir Sie darüber informieren (z. B. per E-Mail oder wenn Sie die Dienste erneut nutzen. Wenn Sie mit der überarbeiteten Datenschutzrichtlinie nicht einverstanden sind, können Sie die Kündigung Ihres Benutzerkontos beantragen.

(2) Definitionen

(1) Als „Personenbezogene Daten“ werden all jene Daten über eine identifizierte oder identifizierbare natürliche Person („betroffene Person“) definiert. Eine identifizierbare natürliche Person ist eine Person, die direkt oder indirekt identifiziert werden kann, insbesondere durch Bezugnahme auf einen Identifikator wie einen Namen, eine Identifikationsnummer, Ortsdaten, einen Online-Identifikator oder einen oder mehrere Faktoren, die für die physische, physiologische, genetische, geistige, wirtschaftliche, kulturelle oder soziale Identität dieser natürlichen Person spezifisch sind;

„Ihre personenbezogenen Daten“ sind die persönlichen Daten, die sich auf Sie beziehen.

(2) „Verarbeitung“ ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten, wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung;

(3) „Einschränkung der Verarbeitung“ ist die Kennzeichnung gespeicherter personenbezogener Daten mit dem Ziel, deren zukünftige Verarbeitung einzuschränken;

(4) „Profiling“ ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, diese personenbezogenen Daten dazu zu verwenden, bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen;

(5) „Pseudonymisierung“ bezeichnet die Verarbeitung personenbezogener Daten in einer Weise, dass die personenbezogenen Daten ohne die Verwendung zusätzlicher Informationen nicht mehr einer bestimmten betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen separat aufbewahrt werden sowie technischen Anforderungen und organisatorische Maßnahmen unterliegen, um sicherzustellen, dass die personenbezogenen Daten keiner bestimmten oder bestimmbaren natürlichen Person zugeordnet werden können;

(6) „Ablagesystem“ bezeichnet einen strukturierten Satz personenbezogener Daten, auf die nach bestimmten Kriterien zugegriffen werden kann, und zwar zentral, dezentral oder auf funktionaler oder geografischer Grundlage verteilt;

(7) „Datenverantwortlicher“ oder der „Verantwortliche für die Datenverarbeitung“ ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Datenverantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden;

(8) „Auftragsverarbeiter“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder jede andere Stelle, die personenbezogene Daten im Auftrag des Datenverantwortlichen verarbeitet;

(9) „Empfänger“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen einer bestimmten Untersuchung im Einklang mit dem Unionsrecht oder dem Recht der Mitgliedstaaten personenbezogene Daten erhalten können, gelten jedoch nicht als Empfänger. Die Verarbeitung dieser Daten durch diese Behörden erfolgt im Einklang mit den geltenden Datenschutzbestimmungen für die Zwecke der Verarbeitung;

(10) „Drittpartei“ ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle bzw. Körperschaft anders der betroffenen Person, ein Verantwortlicher, Auftragsverarbeiter oder Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten;

(11) „Zustimmung“ ist jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist;

(12) „Verletzung des Schutzes personenbezogener Daten“ ist eine Verletzung der Sicherheit, die, ob unbeabsichtigt oder unrechtmäßig, zur Vernichtung, zum Verlust, zur Veränderung, oder zur unbefugten Offenlegung von beziehungsweise zum unbefugten Zugang zu personenbezogenen Daten führt, die übermittelt, gespeichert oder auf sonstige Weise verarbeitet wurden;

(13) „Genetische Daten“ sind personenbezogene Daten, die sich auf die ererbten oder erworbenen genetischen Merkmale einer natürlichen Person beziehen und eindeutige Informationen über die Physiologie oder den Gesundheitszustand dieser natürlichen Person liefern und insbesondere aus einer Analyse einer biologischen Probe von der betreffenden natürlichen Person hervorgehen;

(14) „Biometrische Daten“ sind personenbezogene Daten, die aus einer bestimmten technischen Verarbeitung im Zusammenhang mit den physischen, physiologischen oder verhaltensspezifischen Merkmalen einer natürlichen Person resultieren und die eine eindeutige Identifizierung dieser natürlichen Person ermöglichen oder bestätigen, beispielsweise Gesichtsbilder oder daktyloskopische Daten;

(15) „Gesundheitsdaten“ sind personenbezogene Daten im Zusammenhang mit der körperlichen oder geistigen Gesundheit einer natürlichen Person, einschließlich der Erbringung von Gesundheitsdiensten, aus denen Informationen über ihren Gesundheitszustand hervorgehen;

(16) „Hauptbetrieb“ ist:

  • (a) bei einem Verantwortlichen für die Datenverarbeitung mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner zentralen Verwaltung in der Union, es sei denn, die Entscheidungen über die Zwecke und Mittel der Verarbeitung personenbezogener Daten werden in einer anderen Niederlassung des Verantwortlichen für die Datenverarbeitung in der Union getroffen und in dem letzteren Betrieb besteht die Befugnis, solche Entscheidungen umzusetzen. In diesem Fall gilt der Betrieb, der solche Entscheidungen getroffen hat, als der Hauptbetrieb;
  • (b) bei einem Auftragsverarbeiter mit Niederlassungen in mehr als einem Mitgliedstaat der Ort seiner zentralen Verwaltung in der Union oder, falls der Verarbeiter keine zentrale Verwaltung in der Union hat, die Niederlassung des Auftragsverarbeiters in der Union, in dem die Hauptverarbeitungstätigkeiten im Rahmen der Tätigkeiten des Auftragsverarbeiters stattfinden, sofern der Auftragsverarbeiter besonderen Verpflichtungen gemäß dieser Verordnung unterliegt;

(17) „Repräsentant“ bezeichnet eine in der Union dazu bestimmte natürliche oder juristische Person, die vom Datenverantwortlichen oder Datenverarbeiter gemäß Artikel 27 schriftlich benannt wird und den Datenverantwortlichen oder Datenverarbeiter in Bezug auf ihre jeweiligen Verpflichtungen gemäß dieser Verordnung vertritt;

(18) „Unternehmen“ definiert eine natürliche oder juristische Person, die unabhängig von ihrer Rechtsform eine wirtschaftliche Tätigkeit ausübt, einschließlich Personengesellschaften oder Vereinigungen bzw. Organisationen, die regelmäßig eine wirtschaftliche Tätigkeit ausüben;

(19) „Unternehmensgruppe“ bezeichnet eine Gruppe, die aus einem führenden Unternehmen und den von diesem untergestellten Unternehmen besteht;

(20) „Verbindliche unternehmensinterne Datenschutzregelungen“ sind Maßnahmen zum Schutz personenbezogener Daten, zu deren Einhaltung sich der Datenverantwortliche oder der Auftragsverarbeiter innerhalb des Gebiets eines Mitgliedstaats für die Datenübermittlungen oder eine Kategorie von Datenübermittlungen personenbezogener Daten an einen Datenverantwortlichen oder Auftragsverarbeiter derselben Unternehmensgruppe in einem oder mehreren Drittländern verpflichtet;

(21) „Aufsichtsbehörde“ ist eine unabhängige öffentliche Behörde, die von einem Mitgliedstaat gemäß Artikel 51 eingerichtet wurde;

(22) „Betroffene Aufsichtsbehörde“ ist eine Aufsichtsbehörde, die mit der Verarbeitung personenbezogener Daten befasst ist, weil:

  • (a) der Datenverantwortliche oder der Auftragsverarbeiter im Hoheitsgebiet des Mitgliedstaats dieser Aufsichtsbehörde ansässig ist;
  • (b) betroffene Personen mit Wohnsitz in dem Mitgliedstaat dieser Aufsichtsbehörde von der Verarbeitung erheblich betroffen sind oder voraussichtlich erheblich betroffen sein werden; oder
  • (c) bei dieser Aufsichtsbehörde eine Beschwerde eingereicht wurde;

(23) „Grenzüberschreitende Verarbeitung“ bedeutet entweder:

  • (a) Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten von Betrieben in mehr als einem Mitgliedstaat von einem Datenverantwortlichen oder Auftragsverarbeiter in der Union erfolgen, wobei der Datenverantwortliche oder Auftragsverarbeiter in mehr als einem Mitgliedstaat ansässig ist; oder
  • (b) die Verarbeitung personenbezogener Daten, die im Rahmen der Tätigkeiten eines Datenverantwortlichen oder eines Auftragsverarbeiters in einer einzigen Niederlassung der Union stattfinden, die jedoch die betroffenen Personen in mehr als einem Mitgliedstaat erheblich betreffen oder voraussichtlich erheblich betreffen;

(24) „Relevanter und begründeter Einspruch“ ist Einspruch gegen einen Entscheidungsentwurf in Bezug auf einen Verstoß gegen diese Verordnung oder gegen die geplanten Maßnahmen des Datenverantwortlichen oder des Auftragsverarbeiters in Bezug auf diese Verordnung, wobei der Einspruch die klar belegten Risiken eines solchen Entscheidungsentwurfs hinsichtlich der Grundrechte und -freiheiten der betroffenen Personen und gegebenenfalls des freien Verkehrs personenbezogener Daten in der Union verdeutlichen;

(25) „Dienst der Informationsgesellschaft“ steht für einen Dienst im Sinne von Artikel 1(1) Punkt (b) der Richtlinie (EU) 2015/1535 des Europäischen Parlaments und des Rates;

(26) „Internationale Organisation“ bedeutet eine Organisation und die ihr untergeordneten Körperschaften, die dem Völkerrecht unterstehen oder jede andere Körperschaft, die auf Vertragsbasis zwischen zwei oder mehr Ländern basiert.

(3) Allgemeine Bestimmungen

3.1. Gründe für die Verarbeitung

Wir verarbeiten Ihre personenbezogenen Daten nur, wenn und soweit mindestens eines der Folgenden zutrifft:

  • (a) Sie haben der Verarbeitung Ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;
  • (b) die Verarbeitung ist für die Erfüllung eines Vertrags, an dem Sie Teil haben, erforderlich oder um auf Ihren Antrag vor Abschluss eines Vertrags vorvertragliche Maßnahmen durchzuführen;
  • (c) die Verarbeitung ist notwendig für die Einhaltung einer gesetzlichen Verpflichtung, der wir unterliegen;
  • (d) die Verarbeitung ist zum Zwecke der von uns oder einem Dritten verfolgten berechtigten Interessen erforderlich, es sei denn, diese Interessen werden von Ihren Interessen oder Grundrechten und -freiheiten, die den Schutz personenbezogener Daten erfordern, außer Kraft gesetzt, insbesondere wenn es sich um Kinder handelt. Zu unseren berechtigten Interessen gehört die Verarbeitung Ihrer Daten zu wissenschaftlichen und statistischen Zwecken sowie zu Zwecken des Direktmarketings. Diese Sonderfälle werden in den Artikeln 3.6 und 4.8 dieser Richtlinie behandelt.

3.2. Zustimmungsbedingungen

  1. Wenn wir Ihre Zustimmung im Rahmen einer schriftlichen Erklärung anfordern, die auch andere Angelegenheiten betrifft, muss das Zustimmungsersuchen in einer Weise vorgelegt werden, das sich deutlich von den anderen Angelegenheiten unterscheidet.

  2. Sie haben das Recht, Ihre Zustimmung jederzeit zu widerrufen. Durch den Widerruf der Zustimmung wird die Rechtmäßigkeit der aufgrund der Zustimmung bis zum Widerruf erfolgten Verarbeitung nicht berührt werden. Der Widerruf sollte so einfach wie die Zustimmung verlaufen.

  3. Wenn es sich um ein Kind unter 16 Jahren handelt, muss die Einwilligung vom elterlichen Verantwortlichen für das Kind erteilt oder genehmigt werden, und wir werden angemessene Anstrengungen unternehmen, um die Identität der Person zu überprüfen, die die Zustimmung erteilt oder genehmigt.

    Beachten Sie, dass einige Mitgliedstaaten dieses Mindestalter herabgesetzt haben. Ein solches reduziertes Minimum liegt jedoch nicht unter 13 Jahren. Beachten Sie auch, dass dies keine Auswirkungen auf das allgemeine Vertragsrecht der Mitgliedstaaten, wie die Bestimmungen über die Gültigkeit, den Abschluss oder die Wirkung eines Vertrags in Bezug auf ein Kind, hat.

3.3. Verarbeitung besonderer Kategorien von personenbezogenen Daten

  1. Wir werden keine personenbezogenen Daten verarbeiten, die Ihre Rasse oder ethnische Herkunft, politische Meinungen, religiöse oder weltanschauliche Überzeugungen oder die Mitgliedschaft in einer Gewerkschaft, Ihre genetischen Daten, Ihre biometrischen Daten zum Zweck der eindeutigen Identifizierung von Ihnen oder Daten zu Ihrer Gesundheit, Ihrem Sexualleben oder Ihre sexuelle Orientierung preisgeben.

  2. Absatz 1 gilt nicht, wenn einer der folgenden Umstände zutrifft:

    • (a) Sie haben der Verarbeitung Ihrer personenbezogenen Daten für einen oder mehrere bestimmte Zwecke zugestimmt;
    • (b) die Verarbeitung bezieht sich auf personenbezogene Daten, die Sie offenkundig veröffentlicht haben; oder
    • (c) die Verarbeitung ist zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich.

3.4. Verarbeitung, für die keine Identifikation erforderlich ist

Wenn wir nachweisen können, dass wir die betroffene Person nicht oder nicht mehr identifizieren können, finden die Artikel 4.2 bis 4.7 keine Anwendung, es sei denn, Sie geben zur Ausübung Ihrer Rechte aus diesen Artikeln zusätzliche Informationen an, anhand derer Sie sich identifizieren lassen.

3.5. Internationale Datenübermittlung

  1. Wir können Ihre personenbezogenen Daten an einen Datenverantwortlichen, Auftragsverarbeiter oder einen Empfänger in einem Drittland oder einer internationalen Organisation übermitteln, wenn die Kommission über einen Durchführungsrechtsakt entschieden hat, dass das Drittland, ein Gebiet oder ein oder mehrere bestimmte Sektoren in diesem Drittland oder die betreffende internationale Organisation, ein angemessenes Schutzniveau gewährleistet.

  2. Wir können Ihre personenbezogenen Daten auch an ein Drittland oder eine internationale Organisation übermitteln, sofern geeignete Sicherheitsvorkehrungen getroffen werden, wie etwa

    • (a) verbindliche Unternehmensregeln, die von der zuständigen Aufsichtsbehörde genehmigt wurden;
    • (b) angenommene Standard-Datenschutzklauseln durch die Kommission; oder
    • (c) Vertragsklauseln zwischen uns und dem Datenverantwortlichen, dem Auftragsverarbeiter oder dem Empfänger, sofern dies von der zuständigen Aufsichtsbehörde genehmigt wurde.
  3. Wir erkennen ein Gerichtsurteil oder eine Entscheidung einer Verwaltungsbehörde eines Drittlandes, die von uns verlangt, personenbezogene Daten zu übermitteln oder offenzulegen, nur an, wenn dieses Urteil oder diese Entscheidung auf einem internationalen Abkommen wie einem Rechtshilfevertrag zwischen dem ersuchenden Drittland und der Union oder einem Mitgliedstaat beruht, unbeschadet anderer Gründe für die Übermittlung gemäß diesem Kapitel.

  4. In Abwesenheit einer Angemessenheitsentscheidung gemäß Absatz 1 oder angemessener Garantien gemäß Absatz 2 findet eine Übermittlung oder ein Satz von Übermittlungen Ihrer personenbezogenen Daten an ein Drittland oder eine internationale Organisation nur unter einer der folgenden Bedingungen statt:

    • (a) Sie haben der vorgeschlagenen Übertragung ausdrücklich zugestimmt, nachdem Sie über die möglichen Risiken einer solchen Übertragung aufgrund des Fehlens einer Angemessenheitsentscheidung und angemessener Garantien informiert wurden;
    • (b) die Übertragung ist für die Erfüllung eines Vertrags zwischen Ihnen und uns oder die Umsetzung von vorvertraglichen Maßnahmen erforderlich, die auf Ihren Wunsch hin getroffen wurden;
    • (c) die Übertragung ist für den Abschluss oder die Erfüllung eines Vertrags erforderlich, der in Ihrem Interesse zwischen uns und einer anderen natürlichen oder juristischen Person geschlossen wurde; oder
    • (c) die Übermittlung ist zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich.
  5. Konnte eine Übermittlung nicht auf den Absätzen 1 bis 4 beruhen, so darf eine Übermittlung personenbezogener Daten an ein Drittland oder eine internationale Organisation nur erfolgen, wenn die Übermittlung nicht wiederholt erfolgt und nur eine begrenzte Anzahl betroffener Personen betrifft, und die Übermittlung auf von uns verfolgten berechtigten Interessen beruht, die nicht durch die Interessen oder Rechte und Freiheiten der betroffenen Personen außer Kraft gesetzt werden. Alle Umstände der Datenübertragung wurden angemessen geprüft und auf der Grundlage dieser Beurteilung angemessene Garantien in Bezug auf den Schutz personenbezogener Daten getroffen. Wir werden die Aufsichtsbehörde über die Übertragung informieren. Wir werden Sie zusätzlich zu den in Artikel 4.1 genannten Informationen über die Übertragung und die verfolgten zwingenden berechtigten Interessen informieren.

3.6 Wissenschaftliche Forschung und Statistik

Die Verarbeitung zu Zwecken der wissenschaftlichen Forschung oder zu statistischen Zwecken unterliegt angemessenen Garantien für Ihre Rechte und Freiheiten. Diese Schutzmaßnahmen stellen sicher, dass insbesondere technische und organisatorische Maßnahmen getroffen werden, um die Einhaltung des Grundsatzes der Datenminimierung zu gewährleisten. Diese Maßnahmen können eine Pseudonymisierung umfassen, sofern diese Zwecke auf diese Weise erfüllt werden können. Können diese Zwecke durch Weiterverarbeitung erfüllt werden, die die Identifizierung betroffener Personen nicht oder nicht mehr zulässt, so werden diese Zwecke auf diese Weise erfüllt.

(4) Ihre Rechte

4.1. Recht auf Auskunft

  1. Wenn wir Ihre personenbezogenen Daten erheben oder erhalten, stellen wir Ihnen alle folgenden Informationen zur Verfügung:

    • (a) unsere Identität und Kontaktdaten;
    • (b) gegebenenfalls die Kontaktdaten des Datenschutzbeauftragten;
    • (c) die Zwecke der Verarbeitung, für die die personenbezogenen Daten bestimmt sind, sowie die Rechtsgrundlage für die Verarbeitung;
    • (d) die berechtigten Interessen, wenn die Verarbeitung auf den berechtigten Interessen beruht, die von uns oder einem Dritten vertreten werden;
    • (e) ggf. die Empfänger oder Arten von Empfängern der personenbezogenen Daten;
    • (f) gegebenenfalls die Tatsache, dass wir beabsichtigen, personenbezogene Daten an ein Drittland oder eine internationale Organisation zu übermitteln, und das Vorhandensein oder Nichtvorhandensein einer Angemessenheitsentscheidung der Kommission; oder im Falle von Übermittlungen, die angemessenen Schutzmaßnahmen unterliegen, einen Hinweis auf solche Garantien und die Art und Weise, wie eine Kopie davon angefordert werden kann oder wo sie zur Verfügung gestellt werden kann;
    • (g) die Kategorien personenbezogener Daten, die aus anderen Quellen als von Ihnen stammen.
  2. Zusätzlich zu den in Absatz 1 genannten Informationen stellen wir Ihnen die folgenden weiteren Informationen zur Verfügung, die zur Gewährleistung einer fairen und transparenten Verarbeitung erforderlich sind:

    • (a) den Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, anhand derer dieser Zeitraum bestimmt wurde;
    • (b) das Recht, von der verantwortlichen Stelle Zugang zu den personenbezogenen Daten zu verlangen und diese zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken oder der Verarbeitung zu widersprechen sowie das Recht auf Datenübertragbarkeit;
    • (c) wenn die Verarbeitung auf Zustimmung beruht, das Bestehen des Rechts, die Einwilligung jederzeit zu widerrufen, ohne die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Zustimmung vor ihrem Widerruf zu beeinträchtigen;
    • (d) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
    • (e) ob die Übermittlung personenbezogener Daten eine gesetzliche oder vertragliche Verpflichtung oder eine Verpflichtung zum Abschluss eines Vertrags darstellt, sowie ob Sie verpflichtet sind, die personenbezogenen Daten und die möglichen Folgen der Nichtübermittlung dieser Daten anzugeben;
    • (f) die Existenz automatisierter Entscheidungen, einschließlich Profiling, und zumindest in diesen Fällen aussagekräftige Informationen über die damit verbundene Logik sowie die Bedeutung und die beabsichtigten Folgen einer solchen Verarbeitung für den Einzelnen.
    • (g) sofern wir nicht die Daten von Ihnen erhoben haben, die Quellen, aus denen sie stammen, und ob die Quellen öffentlich zugänglich waren.
  3. Wenn wir die Daten von Ihnen erheben, werden wir die in den Absätzen 1 und 2 genannten Informationen spätestens zu dem Zeitpunkt bereitstellen, zu dem wir die Daten erhalten. Ansonsten stellen wir die Informationen zur Verfügung:

    • (a) innerhalb einer angemessenen Frist nach Erhalt der personenbezogenen Daten, jedoch spätestens innerhalb eines Monats, unter Berücksichtigung der besonderen Umstände, unter denen die personenbezogenen Daten verarbeitet werden;
    • (b) wenn die personenbezogenen Daten zur Kommunikation mit der betroffenen Person verwendet werden sollen, spätestens zum Zeitpunkt der ersten Mitteilung an diese betroffene Person; oder
    • (c) wenn eine Weitergabe an einen anderen Empfänger vorgesehen ist, spätestens wenn die personenbezogenen Daten zum ersten Mal offengelegt werden.
  4. Wenn wir beabsichtigen, die personenbezogenen Daten für einen anderen Zweck als den zu verarbeiten, für den die personenbezogenen Daten erhoben wurden, werden wir Ihnen vor dieser weiteren Verarbeitung Informationen zu diesem anderen Zweck und relevante weitere Informationen gemäß Absatz 2 zur Verfügung stellen.

  5. Die Absätze 1 bis 4 gelten nicht, wenn und soweit

    • (a) Sie bereits die Informationen haben;
    • (b) die Bereitstellung solcher Informationen sich als unmöglich erweist oder einen unverhältnismäßigen Aufwand bedeuten würde. In solchen Fällen werden wir geeignete Maßnahmen ergreifen, um Ihre Rechte und Freiheiten und berechtigten Interessen zu schützen, einschließlich der Veröffentlichung der Informationen;
    • (c) die Einholung oder Offenlegung ausdrücklich durch das Unionsrecht oder das Recht der Mitgliedstaaten, dem wir unterliegen, geregelt ist und das geeignete Maßnahmen zum Schutz Ihrer berechtigten Interessen vorsieht; oder
    • (d) die personenbezogenen Daten vorbehaltlich eines Berufsgeheimnisses, das durch das Unionsrecht oder das Recht der Mitgliedstaaten geregelt ist, einschließlich einer gesetzlichen Geheimhaltungspflicht, vertraulich bleiben müssen.

4.2. Zugangsrecht

  1. Sie haben das Recht, von uns eine Bestätigung darüber zu erhalten, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden oder nicht, und, sofern dies der Fall ist, Zugang zu den personenbezogenen Daten und den folgenden Informationen zu erhalten:

    • (a) die Zwecke der Verarbeitung;
    • (b) die Kategorien der betroffenen personenbezogenen Daten;
    • (c) die Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
    • (d) den Zeitraum, für den die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien, anhand derer dieser Zeitraum bestimmt wurde;
    • (e) das Recht, von der verantwortlichen Stelle Zugang zu den personenbezogenen Daten zu verlangen und diese zu berichtigen oder zu löschen oder die Verarbeitung einzuschränken oder der Verarbeitung zu widersprechen sowie das Recht auf Datenübertragbarkeit;
    • (f) das Recht, eine Beschwerde bei einer Aufsichtsbehörde einzureichen;
    • (g) falls die personenbezogenen Daten nicht von Ihnen erhoben werden, alle verfügbaren Informationen zu deren Quelle;
    • (h) die Existenz automatisierter Entscheidungen, einschließlich Profiling, und zumindest in diesen Fällen aussagekräftige Informationen über die damit verbundene Logik sowie die Bedeutung und die beabsichtigten Folgen einer solchen Verarbeitung für den Einzelnen.
  2. Werden personenbezogene Daten in ein Drittland oder an eine internationale Organisation übermittelt, haben Sie das Recht, über die entsprechenden Schutzmaßnahmen im Zusammenhang mit der Übermittlung informiert zu werden.

  3. Auf Wunsch stellen wir Ihnen eine Kopie Ihrer in Bearbeitung befindlichen personenbezogenen Daten zur Verfügung, sofern dadurch die Rechte und Freiheiten Dritter nicht beeinträchtigt werden. Für weitere von Ihnen angeforderte Kopien können wir eine angemessene Gebühr berechnen, die auf den Verwaltungskosten basiert.

4.3. Recht auf Berichtigung

Sie haben das Recht, von uns unverzüglich die Berichtigung unrichtiger, Sie betreffender personenbezogener Daten zu verlangen. Abhängig von den Zwecken der Verarbeitung hat die betroffene Person möglicherweise das Recht, unvollständige personenbezogene Daten zu vervollständigen, einschließlich einer ergänzenden Erklärung.

4.4. Recht auf Löschung

  1. Sie können von uns verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden, mit der Folge, dass wir verpflichtet sind, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

    • (a) die personenbezogenen Daten werden für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet worden sind, nicht mehr benötigt;
    • (b) Sie widerrufen die Einwilligung, auf der die Verarbeitung basiert, und wenn es keinen anderen rechtlichen Grund für die Verarbeitung gibt;
    • (c) Sie widersprechen der Verarbeitung gemäß Artikel 4.8(1) und es liegen keine zwingenden berechtigten Gründe für die Verarbeitung vor, oder Sie widersprechen der Verarbeitung gemäß Artikel 4.8(2);
    • (d) die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.
    • (e) die personenbezogenen Daten müssen gelöscht werden, damit eine rechtliche Verpflichtung im Unionsrecht oder im Recht des Mitgliedstaats, dem wir unterliegen, eingehalten werden kann;
    • (f) die personenbezogenen Daten wurden im Zusammenhang mit einem Angebot von Diensten der Informationsgesellschaft direkt an ein Kind erhoben.
  2. Wenn wir die personenbezogenen Daten veröffentlicht haben und gemäß Absatz 1 verpflichtet sind, die personenbezogenen Daten zu löschen, ergreifen wir unter Berücksichtigung der verfügbaren Technologie und der Kosten der Implementierung angemessene Maßnahmen, einschließlich technischer Maßnahmen, um andere Datenverantwortliche darüber zu informieren, dass Sie die Löschung von personenbezogenen Daten, von Links zu diesen oder zu deren Vervielfältigung oder Vervielfältigung, durch die Datenverantwortlichen angefordert haben.

  3. Die Absätze 1 und 2 gelten nicht, soweit eine Verarbeitung erforderlich ist:

    • (a) zur Ausübung des Rechts auf freie Meinungsäußerung und Information;
    • (b) zur Einhaltung einer rechtlichen Verpflichtung, die eine Verarbeitung durch das Unionsrecht oder das Recht eines Mitgliedstaats erfordert, dem wir unterliegen;
    • (c) zu wissenschaftlichen Forschungszwecken oder zu statistischen Zwecken, sofern das in Absatz 1 genannte Recht die Erreichung der Ziele dieser Verarbeitung unmöglich machen oder ernsthaft beeinträchtigen kann; oder
    • (d) die Übermittlung ist zur Begründung, Geltendmachung oder Abwehr von Rechtsansprüchen erforderlich.

4.5. Recht auf Einschränkung der Verarbeitung

  1. Sie haben das Recht, von uns eine Einschränkung der Verarbeitung zu erhalten, wenn eine der folgenden Bedingungen zutrifft:

    • (a) Sie bestreiten die Richtigkeit der personenbezogenen Daten für einen Zeitraum, in dem wir die Richtigkeit der personenbezogenen Daten überprüfen können;
    • (b) die Verarbeitung ist unrechtmäßig und Sie lehnen die Löschung der personenbezogenen Daten ab und haben stattdessen die Einschränkung der Nutzung der personenbezogenen Daten verlangt;
    • (c) wir die personenbezogenen Daten nicht länger für die Verarbeitung benötigen, Sie sie jedoch zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen benötigen;
    • (d) Sie Widerspruch gegen die Verarbeitung gemäß Artikel 4.8(1) erhoben haben, bis überprüft wurde, ob unsere berechtigten Gründe diejenigen von Ihnen außer Kraft setzen.
  2. Sofern die Verarbeitung nach Absatz 1 eingeschränkt wurde, werden diese personenbezogenen Daten mit Ausnahme der Speicherung nur mit Ihrer Zustimmung oder zur Begründung, Ausübung oder Verteidigung von Rechtsansprüchen oder zum Schutz der Rechte einer anderen natürlichen oder juristischen Person verarbeitet.

  3. Wenn Sie eine Einschränkung der Verarbeitung gemäß Absatz 1 erhalten haben, werden wir Sie informieren, bevor die Einschränkung der Verarbeitung aufgehoben wird.

4.6. Mitteilungspflicht im Zusammenhang mit der Berichtigung oder Löschung personenbezogener Daten oder der Einschränkung der Verarbeitung

Wir werden jedem Empfänger, dem die personenbezogenen Daten mitgeteilt wurden, Berichtigung oder Löschung personenbezogener Daten oder Einschränkung der Verarbeitung gemäß Artikel 4.3, Artikel 4.4(1) und Artikel 4.5 mitteilen, es sei denn, dies ist unmöglich oder mit unverhältnismäßigem Aufwand verbunden. Über diese Empfänger werden wir Sie auf Wunsch informieren.

4.7. Recht auf Datenübertragbarkeit

  1. Sie haben das Recht, Ihre personenbezogenen Daten, die Sie uns in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zur Verfügung gestellt haben, zu erhalten und diese Daten ungehindert an einen anderen Datenverantwortlichen zu übermitteln, wenn:

    • (a) die Verarbeitung auf Zustimmung oder auf einem Vertrag basiert;
    • (b) die Verarbeitung automatisiert erfolgt; und
    • (c) dies die Rechte und Freiheiten anderer nicht beeinträchtigt.
  2. Wenn Sie von Ihrem Recht auf Datenübertragbarkeit gemäß Absatz 1 Gebrauch machen, haben Sie das Recht, die personenbezogenen Daten, soweit dies technisch machbar ist, direkt von uns an einen anderen Datenverantwortlichen übermitteln zu lassen.

  3. Die Ausübung des Rechts nach Absatz 1 des vorliegenden Artikels lässt Artikel 4.4. unberührt.

4.8. Recht auf Widerspruch

  1. Sie haben das Recht, aus Gründen, die Ihre besondere Situation betreffen, jederzeit der Verarbeitung Ihrer personenbezogenen Daten zu widersprechen, die auf den berechtigten Interessen beruhen, die von uns oder einem Dritten verfolgt werden, einschließlich Profiling auf der Grundlage dieser Bestimmungen. Wir verarbeiten nicht länger personenbezogene Daten, sofern wir für die Verarbeitung keine schutzwürdigen Gründe nachweisen können, die Vorrang vor Ihren Interessen, Rechten und Freiheiten oder Ihrer Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen haben.

  2. Wenn Ihre personenbezogenen Daten für Direktmarketingzwecke verarbeitet werden, haben Sie außerdem jederzeit das Recht, der Verarbeitung Ihrer persönlichen Daten für ein solches Marketing zu widersprechen, wozu auch Profiling gehört, soweit diese im Zusammenhang mit einem solchen Direktmarketing stehen.

  3. Wenn Sie der Verarbeitung für Direktmarketingzwecke widersprechen, werden wir Ihre personenbezogenen Daten für solche Zwecke nicht mehr verarbeiten.

  4. Spätestens bei der ersten Mitteilung an Sie werden wir Sie ausdrücklich auf das in den Absätzen 1 und 2 genannte Recht aufmerksam machen und es klar und getrennt von anderen Informationen präsentieren.

  5. Im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft können Sie ungeachtet der Richtlinie 2002/58/EG Ihr Recht auf Widerspruch unter Verwendung technischer Spezifikationen automatisiert ausüben.

  6. Wenn personenbezogene Daten zu wissenschaftlichen oder statistischen Zwecken verarbeitet werden, haben Sie aus Gründen, die Ihre besondere Situation betreffen, das Recht, der Verarbeitung personenbezogener Daten, die Sie betreffen, zu widersprechen.

4.9. Automatisierte Entscheidungen im Einzelfall, einschließlich Profiling

  1. Sie haben das Recht, einer nicht ausschließlich auf einer automatisierten Verarbeitung, einschließlich Profiling, beruhenden Entscheidung unterworfen zu werden, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt.

  2. Absatz 1 gilt nicht, wenn die Entscheidung:

    • (a) für den Abschluss oder die Erfüllung eines Vertrags zwischen Ihnen und uns erforderlich ist;
    • (b) aufgrund von Rechtsvorschriften der Union oder der Mitgliedstaaten, denen der Verantwortliche unterliegt, zulässig ist und diese Rechtsvorschriften angemessene Maßnahmen zur Wahrung Ihrer Rechte und Freiheiten sowie Ihrer berechtigten Interessen enthalten; oder
    • (c) auf Ihre ausdrückliche Einwilligung hin erfolgt.
  3. In den in Absatz 2 Punkten (a) und (c) genannten Fällen werden wir geeignete Maßnahmen ergreifen, um Ihre Rechte und Freiheiten und berechtigten Interessen, als auch das Recht auf zumindest unser menschliches Eingreifen, zu schützen und Ihren Standpunkt zum Ausdruck zu bringen, die Entscheidung einzusehen und anzufechten.

  4. Entscheidungen gemäß Absatz 2 dürfen nicht auf besonderen Kategorien personenbezogener Daten gemäß Artikel 3.3(1) beruhen, es sei denn, Artikel 3.3(2) Punkt (a) findet Anwendung und geeignete Maßnahmen zum Schutz Ihrer Rechte und Freiheiten und berechtigten Interessen sind festgelegt.

(5) Was, warum und wie wir verarbeiten

5.1. Cookies und lokaler Speicher

Wir verwenden Cookies und andere lokale Speichertechnologien, um Ihr Gerät zu identifizieren und Daten auf Ihrem Gerät und/oder in Ihrem Webbrowser zu speichern. Wir tun dies, um unsere Dienstleistungen für Sie erbringen zu können und um die Qualität unserer Dienstleistungen zu erhalten und zu verbessern. Einige dieser Informationen werden von Drittanbietern in unserem Auftrag verarbeitet, wie nachstehend beschrieben.

Sie können die integrierten Tools Ihres Browsers verwenden, um Cookies und andere lokal gespeicherte Daten zu überprüfen, zu deaktivieren und/oder zu löschen.

5.2. Ihre Konto- und Serviceinformationen

Wir sammeln, speichern und verarbeiten Informationen, die Sie uns geben, um Ihnen einen maßgeschneiderten Service zu bieten. Dazu gehören Ihr Name, Ihre E-Mail-Adresse, der GeoIP-basierte Ort, an dem Sie sich für unsere Services angemeldet haben, die Kurse, die Sie lernen, Ihre Lernhistorie und Ihre Zahlungshistorie.

Wir verwenden Ihre E-Mail-Adresse auch, um Ihnen (a) Informationen zu unseren Diensten, wie etwa anstehende Änderungen oder Verbesserungen, und (b) einen oder mehrere Newsletter zu senden, die Sie kostenlos abonnieren und abbestellen können.

Sie können die Kündigung Ihres Kontos jederzeit über die Website von Lingvist oder über die mobilen Apps beantragen. Bei Kündigung Ihres Kontos aus irgendeinem Grund werden wir Ihren Namen und Ihre E-Mail-Adresse innerhalb von 7 Tagen aus unseren Produktionsdatenbanken löschen. Alle Backups werden nach 90 Tagen endgültig entfernt. Danach sind wir nicht mehr in der Lage, verbleibende Serviceinformationen an Sie zurückzuverfolgen. Daher sind diese Informationen keine personenbezogenen Daten im Sinne dieser Richtlinie mehr.

5.3. Ihre Zahlungsangaben

Wir behalten die folgenden Zahlungsinformationen im Auge: Benutzername, E-Mail-Adresse, mitgebrachtes Produkt, Bestellnummer, Preis, Währung, MwSt.-Informationen, Zahlungsanbieter, Sprache der Benutzeroberfläche von Lingvist zum Zeitpunkt der Zahlung, GeoIP-Standort zum Zeitpunkt der Zahlungen, Preisposition, Zahlungsstatus, Zahlungsanbieter-Transaktions-ID, Abonnementinformationen für zukünftige Zahlungen. Wir bewahren diese Daten gemäß den gesetzlichen Bestimmungen sieben Jahre lang auf.

Die Zahlungen unserer Benutzer werden je nach Plattform und Region des Benutzers von fünf verschiedenen Zahlungsdienstleistern abgewickelt. Die gesammelten und verarbeiteten Informationen variieren je nach Anbieter wie folgt:

  • Apple iTunes – Name, E-Mail-Adresse, Kreditkarteninformationen, ggf. Rechnungsinformationen des Betreibers, Telefonnummer
  • Braintree – Kundennummer, Kreditkartennummer, Transaktionsverlauf, bei Altkunden, die vor dem 21. Mai 2018 bezahlt haben, auch E-Mail-Adresse und Name
  • Google Play – Name, E-Mail-Adresse, Kreditkarteninformationen, ggf. Rechnungsinformationen des Betreibers, Telefonnummer
  • PcHome – Name, E-Mail-Adresse, Kreditkarteninformationen, Telefonnummer, Adresse
  • Rakuten – Name, E-Mail-Adresse, Kreditkarteninformationen

5.4. Externe Prozessoren

Neben der Zahlungsabwicklung verwenden wir auch externe Prozessoren, um die Nutzung unserer Dienste zu analysieren, A/B-Tests neuer und verbesserter Funktionen und Dienste durchzuführen und unseren Benutzern technischen Support zu bieten. Die folgende Liste enthält die Namen solcher Prozessoren sowie eine kurze Beschreibung der von ihnen für uns ausgeführten Verarbeitung und Links zu ihren Datenschutzrichtlinien.

  • Apple (https://www.apple.com/legal/privacy/)
    • iTunes Store – Überwachung der Anwendungsqualität und automatische Fehlerberichterstattung
  • AppsFlyer (https://www.appsflyer.com/privacy-policy/) – Ermöglicht die Zuweisung von Daten für native Anwendungen
  • Google (https://policies.google.com/privacy)
    • Google Analytics – verfolgt die Aktivitäten der Nutzer und führt demografische Analysen durch
    • Google Analytics für Firebase – liefert Daten zur Akquisitionszuordnung und Produktnutzung
    • Google Optimize – ermöglicht AB-Tests auf der Website von Lingvist
    • Google Play Store – Überwachung der Anwendungsqualität und automatische Fehlerberichterstattung
  • LeanPlum (https://www.leanplum.com/privacy) – Verfolgt die Aktivitäten der Benutzer, bietet Unterstützung für In-App-Messaging und AB-Tests
  • Sentry (https://sentry.io/privacy/) – Überwachung der Anwendungsqualität und automatische Fehlerberichterstattung