Verantwortliche Stelle und Datenschutzbeauftragter
Die verantwortliche Stelle für die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit dieser App ist die Valora Schweiz AG, Hofackerstrasse 40, CH-4132 Muttenz. Unseren betrieblichen Datenschutzbeauftragten erreichen Sie unter dataprivacy@valora.com oder unter unserer Postadresse mit dem Zusatz «der Datenschutzbeauftragte».
Arten von Daten, Zweck der Verarbeitung und Rechtsgrundlagen
Valora verwendet die von Ihnen mitgeteilten Daten primär zum Zweck des ordnungsgemässen Betriebs dieser App, sowie zur Erfüllung und Abwicklung der App-Dienstleistungen (inkl. der Durchführung von Kundenzufriedenheitsumfragen). Wenn Sie sich das erste Mal registrieren, oder wenn Sie während der App-Nutzung auf bestimmte (neue) Funktionen zugreifen möchten, können wir Sie um Ihre Einwilligung zu den einzelnen Datenverarbeitungsvorgängen bitten. Andere Datenverarbeitungen wiederum nehmen wir aufgrund unserer berechtigten Interessen, gesetzlicher Verpflichtungen oder zur Erfüllung der Nutzungsbestimmungen dieser App vor. Mehr Einzelheiten erfahren Sie in diesem Kapitel.
- Während des Registrierungsvorgangs abgefragte Daten: Während des Registrierungsvorgangs fragen wir Sie nach ihrem Vornamen, Nachnamen, Geburtsdatum, Ihrer Mobiltelefonnummer und E-Mail-Adresse. Ausserdem haben Sie freiwillig die Möglichkeit Ihr Geschlecht anzugeben. Anschliessend generieren wir für Sie eine individuelle Nutzer-ID. Die Verarbeitung dieser Daten findet zur Erfüllung der Nutzungsbedingungen dieser App statt und ist notwendig, um Ihren Zugriff auf die App, die Pflege Ihres Benutzerkontos sowie eine korrekte Ansprache im Falle einer direkten Kommunikation zu ermöglichen. Ihr Geburtsdatum können wir dazu verwenden, um Ihnen Geburtstagswünsche und eine kleine Geburtstagsüberraschung zuzusenden. Außerdem speichern wir Ihre E-Mail-Adresse, wenn Sie sich per E-Mail an unseren Kundendienst wenden sowie für die Durchführung von Kundenzufriedenheitsumfragen.
- ID Registrierung: Für den Kauf von altersbeschränkten Produkten ist außerdem erforderlich, dass Sie Ihr Ausweisdokument scannen (MRZ-Format) bzw. uns eine Bildaufnahme des Dokuments per Email zusenden (falls Sie kein Ausweisdokument mit MRZ-Format besitzen). Dabei erfassen wir von Ihnen die folgenden Daten: Vorname, Nachname, Ausweisnummer, Geburtsdatum, Nationalität, Gültigkeitsdauer des Ausweisdokuments. Wir brauchen diese Daten aufgrund unseres berechtigten Interesses, zum Zwecke der Kunden-Identifizierung sowie der Sicherstellung, dass jeder Kunde nur einen Account eröffnet. Ausserdem können wir diese Daten verwenden, um Straftaten aufzuklären bzw. zu verfolgen. Die Erfassung Ihres Geburtsdatums erfolgt ausserdem zur Überprüfung Ihres Alters im Zusammenhang mit dem Verkauf altersbeschränkter Produkte (insbesondere Tabak) und damit basierend auf der Erfüllung einer gesetzlichen Verpflichtung.
- App-Nutzungsanalysen: Ihr individuelles Nutzerprofil setzt sich zusammen aus den bei der Registrierung angegebenen bzw. von dem Ausweisdokument gewonnenen Daten (s.o.), Ihren Einkaufsdaten (u.a. Orts- und Zeitangaben, Daten zu den Produkten und der Inanspruchnahme von Vergünstigungen) sowie Daten zur App-Nutzung (ob und wann Sie die App genutzt haben, welche Funktionen Sie aufgerufen haben, ob Sie allfällige Vergünstigungen oder andere Angebote genutzt haben, etc.). Basierend auf den Nutzerprofilen aller App-Nutzer können wir Analysen durchführen, welche das Konsumverhalten sowie Konsumprofile abbilden können. Eine solche Verarbeitung wird aufgrund unserer berechtigten Interessen vorgenommen, die Nutzer-Akzeptanz besser zu verstehen und diese App und unsere Angebote fortwährend zu optimieren. Dabei werden Ihre Daten je nach Analyse entweder aggregiert (und somit anonymisiert) oder pseudonymisiert. Ausserdem verwenden wir Ihre Einkaufshistorie der letzten zwölf Monate an den Modulen Kaffee und/oder Tabak für die Unterbreitung eines personalisierten Produktvorschlags bei Ihrem nächsten Einkauf.
- Einkaufen bei avec «The Kitchen» via Click & Collect: Im Rahmen des Einkaufs bei avec «The Kitchen» mittels Click & Collect können Kunden exklusiv Produkte des The Kitchen-Sortiments auf order.thekitchen.avec.ch zur Abholung in einer teilnehmenden Verkaufsstelle vorbestellen. Dabei verarbeiten wir personenbezogene Daten wie Name, Vorname, E-Mail-Adresse zur Bestätigung der Bestellung, sowie Zahlungsdaten (Zahlungsmethode, Verfallsdatum, letzte 4 Ziffern der Zahlungsmethode) zur Abwicklung der Zahlung. Zudem werden Bestellinformationen wie Produkt, Abholzeit und Verkaufsstelle erfasst, um die Bestellung korrekt bereitzustellen.
- Videoüberwachung im Laden: Da es sich bei der avec box, sowie alle teilnehmenden avec Verkaufsstellen, um (zeitweise) unbemannte Verkaufsstellen handelt, findet aufgrund der berechtigten Interessen von Valora und unseren Kunden an der Gewährung von Sicherheit und der Nachvollziehung gewisser Ereignisse (z.B. medizinische Notfälle, Vandalismus) eine Videoüberwachung in den Verkaufsstellen statt. Die Aufnahmen werden im Normalfall zwischen 72 und 120 Stunden gespeichert. Bei Auftreten gewisser Vorkommnisse, die eine weitergehende Speicherung und Verarbeitung der Videoüberwachungsaufnahmen erfordern (z.B. im Rahmen der Strafverfolgung), können die Aufnahmen solange gespeichert werden, wie Valora es für erforderlich erachtet.
- Analyse offener Warenkörbe zur Feststellung von Diebstahl: Wenn Sie die Verkaufsstelle verlassen, ohne Ihren Warenkorb abzuschliessen (stornieren und/oder bezahlen sämtlicher Artikel), erhalten wir in unserem System eine Meldung. Wir können die offenen Warenkörbe und die Videoaufnahmen Ihres Besuchs darauf untersuchen, ob ein Diebstahl vorliegt.
- Zahlungsmitteldaten: Sie werden während des Registrierungsprozesses dazu aufgefordert, ein gültiges Zahlungsmittel zu hinterlegen. Die Angaben zu Ihrem Zahlungsmittel machen Sie direkt bei unserem Zahlungsanbieter Datatrans. Valora erhält vom Zahlungsanbieter ein Kreditkarten-Alias, den Kartentyp sowie das Ablaufdatum zu dem Zweck, eine Zahlung bei Datatrans auszulösen. Ausserdem erhält Valora eine maskierte Form der Kreditkartennummer (z.B. 123456XXXXXX7890) zu dem Zweck, Ihnen anzuzeigen, welches Zahlungsmittel Sie hinterlegt haben. Für nähere Informationen, wie Datatrans Ihre Daten bearbeitet, können Sie die Datenschutzerklärung von Datatrans einsehen unter www.datatrans.ch/de/datenschutzbestimmungen.
- Notfallknopf: In unserer Verkaufsstelle gibt es einen Notfallknopf, den Sie betätigen können, wenn Sie sich in einer Notsituation befinden. Durch Betätigung des Notfallknopfes wird ein automatischer Alarm bei der Sicherheitsfirma Protectas ausgelöst, welche danach intervenieren. Nach dem Vorfall kann ein Bericht erstellt werden, der Name, Adresse, Zeit des Vorfalls sowie vorgenommene Massnahmen umfassen kann. Ausgelöste Alarme können für 2 Jahre nachvollzogen werden.
- Datenverarbeitung zur Betrugsprävention: Wenn wir feststellen, dass ein Nutzer gegen die Bedingungen des Treueprogramms verstoßen hat (z. B. durch unzulässige Verwendung der Mitgliedskarte für Einkäufe anderer Personen, um Punkte zu sammeln), können wir das betroffene Nutzerkonto sperren. In diesem Fall speichern wir bestimmte personenbezogene Daten (wie E-Mail-Adresse, Telefonnummer, Nutzer-ID), um eine Neuregistrierung des Nutzers zu verhindern und zukünftigen Betrug zu vermeiden. Diese Verarbeitung erfolgt auf Grundlage unserer berechtigten Interessen, die Integrität und Sicherheit des Treueprogramms sicherzustellen.
Automatisierte Entscheide und Profiling
Bei den Modulen Kaffee und Tabak werden wir Ihnen einen individuellen Produktvorschlag, basierend auf den von Ihnen in der Vergangenheit eingekauften Produkten unterbreiten. Wir verwenden die von Ihnen im Zusammenhang mit der App bereitgestellten Daten nicht für Profiling.
Personendaten im Rahmen des Downloads dieser App aus dem App-Store
Beim Herunterladen dieser App verarbeitet der relevante App-Store bestimmte Daten, die sich auf den Nutzer und das Gerät des Nutzers beziehen, wie zum Beispiel: IP-Adresse, Geräte-Identifikationsnummern (IMEI, UDID, IMSI, MAC-Adresse), Mobilnummer (MSISDN), Name des Geräts, benutzerspezifische App-Store-Anmeldedaten wie Benutzername / Passwort.
Die Nutzung von Plattformen Dritter erfolgt auf eigenes Risiko. Wir haben die Plattformen Dritter nicht überprüft und übernehmen keine Verantwortung dafür, wie die Anbieter Personendaten verarbeiten. Wir empfehlen Ihnen, die Datenschutzerklärungen fremder Plattformen vorab zu lesen.
Weitergabe von Personendaten
- Weitergabe Ihrer Daten an andere Valora-Gesellschaften: Soweit es zur Bereitstellung dieser App oder für andere berechtigte Interessen von Valora notwendig ist, wird Valora Ihre Daten mit anderen Mitgliedern der Valora Unternehmensgruppe teilen.
- Weitergabe von personenbezogenen Daten an Dritte: Valora kann gewisse Aufgaben und Daten an von ihr beauftragte Dritte („Dienstleister“) übertragen, um den ordnungsgemässen Betrieb (z.B. die Durchführung des Registrierungsprozesses oder Bestellprozesses im Rahmen des avec «The Kitchen» via Click & Collect), die Wartung und die verschiedenen Funktionalitäten dieser App zu ermöglichen, sowie um die Daten abzuspeichern oder Kundenzufriedenheitsumfragen durchzuführen. Die Dienstleister sind Auftragsverarbeiter von Valora und sind an die hierin beschriebenen Verarbeitungszwecke vertraglich gebunden. Sie dürfen Ihre Daten insbesondere nur im Rahmen der Erfüllung ihrer vertraglichen Verpflichtungen gegenüber Valora sowie ihrer Verpflichtungen gemäß geltendem Recht verarbeiten. Falls wir an einem Unternehmenszusammenschluss (Fusion), einem Gemeinschaftsunternehmen (Joint Venture), einem Unternehmenserwerb/ -verkauf oder einem Verkauf von Vermögensgegenständen beteiligt sind, können wir Ihre Daten zu deren weiterer Bearbeitung an einen allfälligen Transaktionspartner weitergeben.
- Offenlegung im Zusammenhang mit Strafverfahren: Soweit gesetzlich zulässig, können wir Informationen offenlegen, deren Preisgabe erforderlich oder förderlich ist, um eine tatsächliche oder mutmaßliche Straftat oder eine anderweitige Verletzung von unseren Rechten oder den Rechten eines Dritten zu untersuchen oder zu verhindern.
- Aggregierte und anonymisierte Auswertungsdaten: Valora kann zusammengefasste (aggregierte) oder nicht personenbezogene (anonymisierte) Daten an die Öffentlichkeit und weitere Partner weitergeben. Es ist zum Beispiel möglich, dass Valora solche Informationen veröffentlicht, um Trends bezüglich des Kundenverhaltens aufzuzeigen. Sie als Person sind dann jedoch nicht mehr aus diesen Daten identifizierbar.
Verarbeitungsort und Übermittlung in Drittländer
Ihre Daten werden grundsätzlich nur in der Schweiz und in EU-Ländern verarbeitet.
Um Ihre Daten sicher auf unserer Kundendatenbank zu speichern, verwenden wir einen Cloud-Dienstleister, der Rechenzentren in Irland und Deutschland bereitstellt. Sollte es doch notwendig sein, Ihre Personendaten in ein Land zu übermitteln, das nicht über ein ausreichendes Datenschutzniveau verfügt, werden wir geeignete Garantien sicherstellen: Entweder werden mit dem Empfänger die anerkannten Standardvertragsklauseln (inkl. Schweizer Anhang) abschliessen oder der Empfänger kann nachweisen, dass er unter dem Privacy Shield (EU-US/CH-US) selbstzertifiziert ist.
Speicherdauer Ihrer personenbezogenen Daten
Sämtliche gespeicherten personenbezogenen Daten werden von Valora (und / oder von verbundenen Unternehmen oder Dritt-Dienstleistern im Auftrag von Valora) nur so lange aufbewahrt, wie dies für die Nutzung der App erforderlich ist und soweit dies gesetzlich zulässig oder erforderlich ist.
- Registrierungsdaten werden für die Dauer des Bestandes des Nutzerkontos gespeichert. Nutzerkonten werden unaufgefordert nach zwei Jahren Inaktivität gelöscht.
- Analysedaten nutzen und speichern wir für die Dauer von einem Jahr.
- Daten in Zusammenhang mit dem avec «The Kitchen» mit Click & Collect: Die Daten werden ein Jahr nach Ende des Kalenderjahres, in dem die Bestellung erfolgte, gelöscht, sofern keine gesetzlichen Aufbewahrungsfristen bestehen.
Aggregierte oder anonymisierte Daten, welche sich nicht mehr auf einzelne Nutzer beziehen, können jedoch darüber hinaus für interne Zwecke genutzt werden.
Bei Nutzern, die aufgrund betrügerischer Aktivitäten gesperrt wurden, speichern wir die relevanten Daten (z. B. E-Mail-Adresse, Telefonnummer, Nutzer-ID) für einen Zeitraum von zwei Jahren ab dem Zeitpunkt der Sperrung. Diese längere Speicherdauer ist notwendig, um sicherzustellen, dass gesperrte Nutzer sich nicht erneut registrieren und den Betrug fortsetzen können. Nach Ablauf der zweijährigen Frist werden die Daten automatisch gelöscht, sofern keine rechtlichen Verpflichtungen zur weiteren Aufbewahrung bestehen.
Wie werden Daten über Kinder verarbeitet
Die Nutzung dieser App ist nicht für Kinder und Jugendliche unter 16 Jahren bestimmt. Daher werden keine Personendaten über Kinder erhoben.
Ihre Rechte im Zusammenhang mit Ihren personenbezogenen Daten
- Widerruf von Einwilligungen: Für diejenigen Datenverarbeitungen, zu denen Sie Ihre Zustimmung gegeben haben, haben Sie jederzeit das Recht, diese zu widerrufen. Die Anpassung Ihrer persönlichen Einstellungen kann direkt in der App vorgenommen werden. Da Sie Ihre Zustimmung für verschiedene Funktionalitäten abgeben können, wird im Falle eines Widerrufs Ihrer Einwilligung nur diejenige Funktionalität deaktiviert oder eingeschränkt, für die Sie Ihre Zustimmung widerrufen haben.
- Widerspruch: Datenverarbeitungen, die wir gestützt auf unsere berechtigten Interessen vornehmen, sowie Verarbeitungen zum Zweck von Direktwerbung, können Sie jederzeit widersprechen.
- Auskunftsrecht und Recht auf Übertragung: Sie haben auch das Recht, von uns zu erfahren, welche Daten wir auf welcher Rechtsgrundlage und zu welchen Zwecken über Sie verarbeiten, sowie eine kostenlose Kopie Ihrer personenbezogenen Daten anzufordern. Die Kopie kann auf Ihre Anfrage hin an einen Drittverantwortlichen weitergeleitet werden, sofern dies technisch durchführbar und nicht mit unangemessenen Kosten verbunden ist.
- Recht auf Berichtigung: Sollten Ihre Daten unvollständig oder nicht richtig sein, haben Sie das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen. Einige Informationen können Sie im Kundencenter der App selbst korrigieren.
- Recht auf Löschung: Sie haben das Recht, dass Ihre personenbezogenen Daten unter bestimmten Umständen gelöscht werden. Im Einzelfall kann das Recht auf Löschung ausgeschlossen sein. Sie haben jederzeit das Recht Ihr Kundenkonto und die damit verbundenen Daten selbstständig zu löschen. Die endgültige Löschung des Kundenkontos erfolgt 30 Tage nachdem sie die Löschung beantragt haben. Wir benötigen diese Zeitspanne um die rechtliche Zulässigkeit des Löschungsbegehrens zu prüfen und um Betrug zu verhindern. Bitte beachten Sie, dass die Deinstallation der App nicht automatisch zu der Löschung Ihres Kundenkontos führt und Ihre Daten weiterhin erhalten bleiben, sollten Sie sich zu einem späteren Zeitpunkt dazu entschliessen, die App neu zu installieren. Wenn Ihr Konto aufgrund eines Verstosses gegen die Bedingungen des Treueprogramms gesperrt wurde, können bestimmte Daten für einen Zeitraum von zwei Jahren zur Betrugsprävention gespeichert bleiben, bevor sie endgültig gelöscht werden. Im Einzelfall kann das Recht auf Löschung in diesem Zusammenhang daher eingeschränkt sein.
- Recht auf Einschränkung: Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten einfordern.
- Automatisierte Entscheide und Profiling: Wo im Rahmen dieser App Entscheidungen ausschliesslich auf automatisierter Verarbeitung beruhen (insbesondere Profiling und personalisierte Angebote), können Sie diese Entscheidungen ablehnen.
Wie Sie Ihre Rechte wahrnehmen bzw. Kontakt mit unserem Datenschutzbeauftragten aufnehmen können
Wenn Sie Ihre vorgängig beschriebenen Rechte wahrnehmen möchten oder sonstige Fragen zu der Verarbeitung Ihrer Personendaten haben, wenden Sie sich bitte an unseren betrieblichen Datenschutzbeauftragten unter dataprivacy@valora.com oder unter unserer Postadresse mit dem Zusatz „der Datenschutzbeauftragte“. Um unserem Datenschutzbeauftragten eine möglichst schnelle Zuordnung der Anfrage zu erleichtern, verfügt Ihre Nachricht idealerweise über den Verweis "avec App".
Beschwerderecht
Sollten Sie Grund zu der Annahme haben, dass Valora Ihre personenbezogenen Daten nicht im Einklang mit den geltenden Gesetzen und sonstigen Vorschriften verarbeitet und/oder wenn Sie mit der Beantwortung Ihrer Anfrage zur Gewährung Ihrer Rechte nicht einverstanden sind, können Sie eine Beschwerde bei der Aufsichtsbehörde einreichen.
Wie nutzen wir Analyse-Tools
Wir nutzen die Entwicklerplattform Google Firebase und die mit ihr verbundenen Funktionen und Dienste der Google Inc., 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA, („Google“). Bei Google Firebase handelt es sich um eine Plattform für Entwickler von Apps für mobile Geräte und Websites. Google Firebase bietet eine Vielzahl von Funktionen, die auf der folgenden Übersichtsseite dargestellt werden: https://firebase.google.com/products/.
Die Funktionen umfassen unter anderem die Speicherung von Apps inklusive personenbezogener Daten der Nutzer, wie z. B. von Ihnen erstellte Inhalte oder Informationen betreffend Ihrer Interaktion mit den Apps. Google Firebase bietet daneben Schnittstellen, die eine Interaktion zwischen den Nutzern der App und anderen Diensten erlauben.
Die Auswertung der Interaktionen der Nutzer erfolgt mithilfe des Analyse-Dienstes Firebase Analytics. Dieser Dienst hilft uns bei der Erfassung von Interaktionen unserer Nutzer. Dabei werden beispielsweise Ereignisse wie das erstmalige Öffnen der App, Deinstallation, Update, Absturz oder Häufigkeit der Nutzung der App erfasst. Auch bestimmte Nutzerinteressen werden dadurch erfasst und ausgewertet.
Die mittels von Google Firebase verarbeiteten Informationen werden ggf. zusammen mit weiteren Diensten von Google, wie z.B. Google Analytics und den Google-Marketing-Diensten verwendet. In diesem Fall werden nur pseudonyme Informationen, wie die Android Advertising ID oder der Advertising Identifier für iOS verarbeitet, um mobile Geräte der Nutzer zu identifizieren. Weitere Informationen zur Datennutzung zu Marketingzwecken durch Google, erfahren Nutzer auf der Übersichtsseite: https://www.google.com/policies/technologies/ads, die Datenschutzerklärung von Google ist unter https://www.google.com/policies/privacy abrufbar.
Google ist unter dem Privacy-Shield-Abkommen zertifiziert und bietet hierdurch eine Garantie, das Schutzniveau des europäischen Datenschutzrechts zu gewährleisten (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active).
Aktualisierungen dieser Datenschutzbestimmung
Bitte beachten Sie, dass wir diese Datenschutzerklärung jederzeit ohne Vorankündigung ändern können. Bitte prüfen Sie diese App-Datenschutzbestimmung regelmäßig auf Änderungen – wir werden Änderungen mit einem zusätzlichen Label wie "neu" oder "update" kennzeichnen. Alle Änderungen werden unmittelbar nach der Veröffentlichung der überarbeiteten App-Datenschutzbestimmung in dieser App wirksam.