Datenschutzerklärung (nach Artikel 13 Datenschutz-Grundverordnung)
Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. In dieser Datenschutzerklärung informieren wir Sie über die Datenverarbeitung im Rahmen des Fake-Shop Detectors.
Was ist der Zweck des Fake-Shop Detectors?
Der Fake-Shop Detector ist eine Software, die in einem Browser installiert oder über ein Webservice des ÖIAT verwendet werden kann. Der Fake-Shop Detector hat den Zweck, Sie vor unseriösen Web-Shops sog. „Fake-Shops“ und anderen betrügerischen Online-Angeboten zu schützen.
Der Detector überprüft jede von Ihnen abgerufene Website in zwei Schritten: Als erstes wird eine von ExpertInnen kuratierte Datenbank zu seriösen und betrügerischen Onlineshops durchsucht. Ist eine Website unbekannt, kommt es im zweiten Schritt optional, im Fall Ihrer Einwilligung zu einer Echtzeitanalyse durch Künstliche Intelligenz (KI) am Server der Fake-Shop Datenbank, welche die Webseite abruft, anhand bekannter Betrugsmuster analysiert und das Ergebnis dem Fake-Shop Detector zurückmeldet. Genaueres über die Funktionsweise des Fake-Shop Detectors können Sie unter Über uns nachlesen.
Welche personenbezogenen Daten verarbeitet der Fake-Shop Detector?
Der Fake-Shop Detector (kurz „FSD“) folgt einem „Security and Privacy by Design“ Ansatz: Um zu verhindern, dass betrügerische Kräfte mutwillig versuchen, den Betrieb und somit die Quality des Services für Konsumentinnen und Konsumenten des FSDs durch gezielte Angriffe zu stören bzw. lahm zu legen, hat die Aufrechterhaltung der höchstmöglichen Betriebssicherheit oberste Priorität. Dies macht es notwendig, in den Log-Dateien des Services die IP-Adressen (und den Zeitpunkt von Anfragen) aus Serveranfragen, die den FSD erreichen, zu erfassen. Diese Daten werden für 14 Tage gespeichert und danach automatisiert gelöscht. Diese Datenverarbeitung ist essenziell, um, gestützt auf berechtigte Interessen (Art 6 Abs 1 lit f DSGVO), gezielte Angriffe auf das System zu detektieren, auf mutwillige oder betrügerische Akteure zu reagieren und diese bewusst von der Nutzung des Services auszuschließen. Nur auf diese Weise können wir einen uneingeschränkten Betrieb des FSD Services für Konsumentinnen und Konsumenten gewährleisten.
Da uns Datenschutz ein wichtiges Anliegen ist: „Grundsätzlich“ verarbeitet der Fake-Shop Detector keine personenbezogenen Daten! Warum nur „grundsätzlich“? Das kommt etwas auf den Betriebsmodus des Fake-Shop Detectors an und ob Sie darüber hinaus mit uns Kontakt aufnehmen:
- Anzeige für bekannte Websites: Alle Einschätzungen zu bereits bekannten und kuratierten Websites werden über den Speicher des FSD-Plugins generiert. Der Plugin-Cache wird beim Neustart des Browsers, sowie alle 24 Stunden, aktualisiert. Der Fake-Shop Detector verwendet hierbei keinerlei Informationen über die UserIn. Lediglich die IP-Adresse Ihres Gerätes, sowie der Zeitpunkt des Abrufs wird bei der Datenübertragung zur Aktualisierung des Plugin-Cache aufgrund des berechtigten Interesses, die für den Betrieb des Fake-Shop Detectors notwendige Infrastruktur zuverlässig betreiben zu können, in Server-Log-Files für längstens 14-Tage verarbeitet (siehe unten).
- Automatische Klassifizierung für unbekannte Websites: Die automatische Klassifizierung für unbekannte Websites kann in den Einstellungen optional freiwillig aktiviert werden. Wird eine dem Fake-Shop Detector unbekannte Website zum ersten Mal aufgerufen, wird ausschließlich die Webadresse (URL) dieser Seite an die Fake-Shop Detector Datenbank übertragen, sodann von der KI zentral ausgewertet und danach von ExpertInnen überprüft. Auch hierfür werden nur Ihre IP-Adresse und die aufgerufene Website in den Server-Logfiles (siehe unten) verarbeitet.
Datenschutzrechtliche Einwilligung
Durch das Aktivieren der entsprechenden Einstellung im Fake-Shop Detector erteilen Sie Ihre Einwilligung, dass die von Ihnen aufgerufenen Websites zur Überprüfung an die KI übermittelt werden. Wenn Sie die entsprechende Einstellung nicht aktivieren, können Sie den Fake-Shop Detector weiterhin nutzen, tragen aber nicht zu dessen Verbesserung bei und sind nicht vor neuen und bislang unbekannten Bedrohungen geschützt.
- Fehlermeldungen: Zur Nachverfolgung von Fehlern und zur Entwicklung des Fake-Shop Detectors wird eine anonyme UUID generiert, welche Sie uns bei Kontaktaufnahme bzw. zur Meldung von Problemen mit dem Fake-Shop Detector freiwillig senden können. Wir können keine Verbindung zwischen dieser UUID und Ihnen herstellen, außer Sie teilen uns die UUID und persönliche Daten im Rahmen einer Kontaktaufnahme (siehe nächster Punkt) mit. Sollten Sie Fehler melden, verarbeiten wir die mitgeteilten Daten aufgrund des berechtigten Interesses, den Fake-Shop Detector zu verbessern.
- Manuelle Kontaktaufnahme: Möchten Sie darüber hinaus manuell Shops oder Websites zur Überprüfung melden, Fehler am Plugin, falsch klassifizierte Shops oder Websites beanstanden, so haben Sie die Möglichkeit, mit uns über die Websites https://www.fakeshop.at/kontakt/ und https://www.watchlist-internet.at/ Kontakt aufzunehmen. Diese Datenverarbeitung erfolgt aufgrund des berechtigten Interesses Ihre Anfragen bzw. Meldungen zur Verbesserung des Fake-Shop Detectors zu bearbeiten Nähere Informationen dazu entnehmen Sie bitte der Datenschutzerklärung der jeweiligen Webseite.
Anders gesagt: Der überwiegende Teil an Einschätzungen über das Bedrohungspotential von angesurften Webseiten wird aus dem lokalen Browser-Cache an bekannten und kuratierten Webseiten retourniert, wir wissen somit nicht, welche Webseiten unsere User:innen besuchen und wie oft Webseiten insgesamt besucht wurden. Einzig die Analyse einer nicht kuratierten und somit uns unbekannten Webseite wird – sofern freiwillig in den Einstellungen aktiviert – in das System des Fake-Shop Detectors eingeschickt, um das von der KI errechnete Bedrohungspotential abzufragen. Sobald das ermittelte Bedrohungspotential durch menschliche ExpertInnen bestätigt wurde, wird auch diese Webseite wieder aus ihrem lokalen Browser-Cache retourniert. Während Sie den Fake-Shop Detector aktiviert haben und im Internet surfen, werden keine persönlichen Informationen an Dritte weitergegeben.
Server-Log-Files: Sofern Sie die automatische Klassifizierung für unbekannte Webseiten im Fake-Shop Detector aktiviert haben, erheben wir im Rahmen dieser automatisierten Meldung von potentiellen Fake-Shop Websites personenbezogene Daten im technisch notwendigen Umfang. Ebenso passiert dies zur Aktualisierung bzw. Übertragung des Plugin-Cache. Wir verarbeiten hierzu Datum und Uhrzeit des Abrufs einer Webseite bzw. des Caches, die IP-Adresse des zugreifenden Geräts, Typ- und Versionskennung des aufrufenden Browsers und die stattgefundene Aktion (Abruf des Plugin-Cache bzw. Meldung potentieller Fake-Shop) um Ihnen den Fake-Shop Detector und die dahinterliegende KI sowie Datenbanken zur Verfügung stellen und Fehler analysieren zu können. Es werden keine Versuche unternommen, diese Daten bestimmten Personen zuzuordnen. Wir schließen jede Form der Surfprofilerstellung aus. Die Daten werden auch nicht mit Daten aus anderen Datenquellen zusammengeführt oder an Dritte weitergegeben. Die Verarbeitung dieser Daten erfolgt beim Abruf des Plugin-Cache auf Grundlage unserer berechtigten Interessen (Art 6 Abs 1 lit f DSGVO), die für den Fake-Shop Detector notwendige Infrastruktur zuverlässig zu betreiben und bei der automatischen Klassifizierung für unbekannte Websites aufgrund Ihrer freiwilligen Einwilligung (Art 6 Abs 1 lit a DSGVO). Diese Daten und die zugrundeliegenden Server-Log-Files werden nach 14 Tagen automatisch gelöscht.
Namen und Kontaktdaten der Verantwortlichen
Der Fake-Shop Detector ist ein Ergebnis von verschiedenen Forschungsprojekten und wird laufend weiterentwickelt. Geleitet wird das Projekt vom Österreichischen Institut für angewandte Telekommunikation („ÖIAT“, Ungargasse 64-66/3/404, 1030 Wien, office@oiat.at, +43 1 595 21 12); es wird in Kooperation mit der AIT Austrian Institute of Technology GmbH („AIT“, Giefinggasse 4, 1210 Wien, fs-detector@ait.ac.at, +43 50550-4042; AIT Datenschutzbeauftragter: Giefinggasse 4, 1210 Wien, dpo@ait.ac.at; +43 50550-2003 ) und X-Net Services GmbH („X-Net“, Spittelwiese 15, 4020 Linz, office@x-net.at, +43 732 773142-0) umgesetzt. Diese sind auch gemeinsam für die Verarbeitung verantwortlich („Joint Controllers“ nach Art 26 DSGVO), weil sie Zwecke und Mittel der Datenverarbeitung im Rahmen der (Weiter-)Entwicklung des Projektes festlegen, sowie sich für die technischen und organisatorischen Datenschutz- bzw. Datensicherheitsmaßnahmen verantwortlich zeigen.
Anlaufstelle für betroffene Personen
Die Pflichten zur Führung der erforderlichen Verzeichnisse, Informationspflichten bei der Erhebung von personenbezogenen Daten (Art 13 DSGVO) und alle Maßnahmen um Ihre Rechte als Betroffener zu gewährleisten bzw. zu erfüllen werden vom Österreichischen Institut für angewandte Telekommunikation (ZVR-Zahl 922972340), erreichbar unter der Adresse Ungargasse 64-66/3/404, 1030 Wien, der Telefonnummer +43 1 595 21 12 (9h bis 17h) sowie unter der E-Mail-Adresse office@oiat.at wahrgenommen. Dieser Verein stellt Ihnen auf Nachfrage auch das Wesentliche der Vereinbarung über eine Gemeinsame Verantwortung zur Verfügung.
Rechte betroffener Personen
Ihnen stehen grundsätzlich die Rechte auf Auskunft (Art 15 DSGVO), Berichtigung (Art 16 DSGVO), Löschung (Art 17 DSGVO) und Einschränkung (Art 18 DSGVO) und Datenübertragbarkeit (Art 20 DSGVO) zu. Wenn Ihre Daten aufgrund Ihrer Einwilligung verarbeitet werden, können Sie diese jederzeit widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der Verarbeitung bis zum Widerrufszeitpunkt nicht berührt. Weiters haben Sie das Recht auf Widerspruch (Art 21 DSGVO).
Wenn Sie von Ihren Rechten Gebrauch machen wollen, wenden Sie sich bitte an: office@oiat.at.
Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich an die Aufsichtsbehörde wenden. In Österreich ist dies die Datenschutzbehörde in Wien (www.dsb.gv.at).