Datenschutzerklärung

Autovig nach der DSGVO: Verantwortlicher, Rechtsgrundlage je Zweck, Speicherdauer, Empfänger, EU–US-Übermittlungen, Ihre Rechte und der Beschwerdeweg zur APD/GBA.

Diese Datenschutzerklärung beschreibt die Verarbeitung personenbezogener Daten beim Besuch der Website autovig.eu (die „Website“). Sie wird gemäß den Artikeln 12, 13 und 14 der Verordnung (EU) 2016/679 (die „DSGVO“) sowie dem belgischen Gesetz vom 30. Juli 2018 zum Schutz natürlicher Personen bei der Verarbeitung personenbezogener Daten erteilt.

Die Website ist ein redaktioneller Informationsdienst zu europäischen Autobahnvignetten und Maut. Sie führt keine Nutzerkonten, verarbeitet keine Zahlungen und beherbergt keine nutzergenerierten Inhalte. Die verarbeiteten personenbezogenen Daten beschränken sich daher auf das, was technisch erforderlich ist, um eine öffentliche Website bereitzustellen, die redaktionelle Reichweite zu messen und Ihre Nachrichten zu beantworten.

1. Verantwortlicher

Verantwortlicher im Sinne von Artikel 4 Nr. 7 DSGVO ist:

Verweise auf „Autovig“, „wir“, „uns“ oder „unser“ in dieser Erklärung beziehen sich auf die Autovig, die unter der Marke Autovig auftritt. Der Verantwortliche ist in der Europäischen Union niedergelassen; ein Vertreter im Sinne von Artikel 27 DSGVO ist nicht erforderlich.

2. Datenschutzbeauftragter

Die Autovig hat keinen Datenschutzbeauftragten benannt. Die in dieser Erklärung beschriebenen Verarbeitungstätigkeiten erreichen die Schwellen des Artikels 37 Absatz 1 DSGVO nicht: Der Verantwortliche ist keine Behörde, seine Kerntätigkeiten bestehen nicht in einer umfangreichen, regelmäßigen und systematischen Überwachung betroffener Personen und umfassen keine umfangreiche Verarbeitung besonderer Datenkategorien im Sinne der Artikel 9 und 10.

Datenschutzanfragen einschließlich der Ausübung von Betroffenenrechten werden vom verantwortlichen Herausgeber unter contact@autovig.eu bearbeitet.

3. Datenkategorien und Quellen

Wir verarbeiten die folgenden Kategorien personenbezogener Daten. Jede Kategorie wird in Abschnitt 5 nach Zweck, Rechtsgrundlage, Empfängern, Speicherdauer und Übermittlungen aufgeschlüsselt.

KategorieBeispieleQuelle
VerbindungsdatenIP-Adresse, Zeitstempel, HTTP-Methode, angefragte URL, Antwortcode, User-Agent, ReferrerWerden automatisch durch die von Ihrem Browser übermittelten HTTP-Header erzeugt
EinwilligungsstatusPro-Kategorie-Entscheidung zu Cookies (notwendig / Reichweitenmessung)Von Ihnen über das Banner erteilt; im lokalen Speicher Ihres Browsers abgelegt
ReichweitenmessdatenPseudonyme Seitenaufruf-Ereignisse: aufgerufene Seite, Sprache, grobe Geräteklasse, Referrer-HostWerden durch Ihren Browser ausschließlich nach Ihrer Einwilligung in die Reichweitenmessung erzeugt
KorrespondenzdatenE-Mail-Adresse, Inhalt Ihrer Nachricht und alle darin enthaltenen AngabenVon Ihnen bereitgestellt, wenn Sie uns schreiben
Schwachstellen-MeldedatenE-Mail-Adresse, technische Beschreibung der Schwachstelle, gegebenenfalls PGP-verschlüsselte InhalteVon Ihnen bereitgestellt, wenn Sie eine Schwachstelle nach unserer Richtlinie zur koordinierten Offenlegung melden

Wir verarbeiten keine besonderen Kategorien personenbezogener Daten im Sinne von Artikel 9 DSGVO (rassische oder ethnische Herkunft, politische Meinungen, religiöse Überzeugungen, Gewerkschaftszugehörigkeit, genetische Daten, biometrische Daten, Gesundheitsdaten, Daten zum Sexualleben oder zur sexuellen Orientierung) und keine Daten über strafrechtliche Verurteilungen im Sinne von Artikel 10. Wir führen keine ausschließlich automatisierte Entscheidungsfindung einschließlich Profiling durch, die Ihnen gegenüber rechtliche Wirkung entfaltet oder Sie in ähnlicher Weise erheblich beeinträchtigt (Artikel 22 DSGVO).

4. Was wir nicht erheben

Klarstellend: Wir erheben und verarbeiten keine Zugangsdaten, Zahlungsdaten, Ausweisdokumente, Postanschriften, Telefonnummern, Kennzeichen, Standortdaten, die über das hinausgehen, was eine IP-Adresse naturgemäß offenbart, Werbe-IDs, seitenübergreifende Tracking-IDs oder Profile für verhaltensbezogene Werbung.

5. Zwecke, Rechtsgrundlagen, Empfänger, Speicherdauer und Übermittlungen

Die folgende Tabelle stellt je Verarbeitungszweck die verwendeten Daten, die Rechtsgrundlage nach Artikel 6 DSGVO, die Empfänger, die Speicherdauer und etwaige Drittlandsübermittlungen dar.

ZweckVerwendete DatenRechtsgrundlage (Art. 6 DSGVO)EmpfängerSpeicherdauerÜbermittlungen außerhalb des EWR
Bereitstellung der Website (Seitenauslieferung, Sprachrouting)Verbindungsdaten, EinwilligungsstatusBerechtigtes Interesse — Art. 6 Abs. 1 lit. f: Betrieb einer öffentlichen WebsiteHostinganbieter (OVH SAS, Frankreich)Verbindungsdaten: bis zu 12 Monate in den Betriebslogs; Einwilligungsstatus bleibt auf Ihrem Gerät, bis Sie ihn löschenKeine — Hosting innerhalb der EU
Betriebliche Sicherheit (Missbrauchsabwehr, Angriffserkennung, Incident Response)VerbindungsdatenBerechtigtes Interesse — Art. 6 Abs. 1 lit. f: Absicherung der Website, abgewogen gegen Ihre berechtigte Erwartung, dass Verkehr zu einer öffentlichen Website aus Sicherheitsgründen protokolliert wird; rechtliche Verpflichtung — Art. 6 Abs. 1 lit. c bei einer Anordnung belgischer Strafverfolgungsbehörden nach den Artikeln 39 und 88 des belgischen Code d’instruction criminelleHostinganbieter; auf rechtmäßige Anordnung belgische Justiz- oder AufsichtsbehördenSicherheitslogs: bis zu 12 MonateKeine
Redaktionelle Reichweitenmessung (Seitenaufrufe, Sprachen, Referrer)ReichweitenmessdatenEinwilligung — Art. 6 Abs. 1 lit. a: Ereignisse werden erst nach Ihrer Annahme im Banner geladen; der Widerruf ist so einfach wie die Erteilung über Cookie-EinstellungenGoogle Ireland Limited (Irland) als Auftragsverarbeiter nach Art. 28 DSGVO; mögliche Weiterübermittlung an Google LLC (Vereinigte Staaten) im selben KonzernStandardspeicherdauer: 14 Monate auf Ereignisebene in der Messeigenschaft; vorzeitige Löschung auf Anfrage (Abschnitt 7)Ja — Google LLC, Vereinigte Staaten, auf Grundlage der Standardvertragsklauseln (Durchführungsbeschluss (EU) 2021/914) und des Datenschutzrahmens EU–USA (Durchführungsbeschluss (EU) 2023/1795), unter dem Google LLC selbstzertifiziert ist
Beantwortung Ihrer NachrichtenKorrespondenzdatenBerechtigtes Interesse — Art. 6 Abs. 1 lit. f für allgemeine Anfragen; Vertragsanbahnung — Art. 6 Abs. 1 lit. b, wenn die Nachricht eine vorvertragliche Anfrage ist, sobald ein Kaufprozess eröffnet wirdHostinganbieter des Postfachs; kein dritter Anbieter für E-Mail-MarketingBis zu 24 Monate nach der letzten Nachricht im Thread, sofern keine längere Aufbewahrung zur Rechtsverteidigung erforderlich ist (bis zu 10 Jahre nach Artikel 2262bis des belgischen Code civil)Keine — Postfach in der EU gehostet
Annahme von SchwachstellenmeldungenSchwachstellen-MeldedatenBerechtigtes Interesse — Art. 6 Abs. 1 lit. f: koordinierte Schwachstellenoffenlegung gemäß ISO/IEC 29147:2018 und belgischem Gesetz vom 28. November 2022 zu Hinweisgebern und koordinierter OffenlegungInternes Sicherheitsteam; koordinierte Offenlegung mit dem betroffenen Dritten, soweit einschlägigBis zu 5 Jahre für abgeschlossene Meldungen, im Einklang mit der Empfehlung der koordinierten Offenlegungspolitik des belgischen Zentrums für Cybersicherheit (CCB)Keine
Nachweis der Einwilligung (Art. 7 Abs. 1 DSGVO)EinwilligungsstatusRechtliche Verpflichtung — Art. 6 Abs. 1 lit. c i. V. m. Art. 7 Abs. 1 DSGVOAusschließlich lokaler Browserspeicher; keine Übertragung an unsBis Sie den lokalen Speicher leeren oder Ihre Auswahl ändernKeine

Das Hinzufügen eines neuen Zwecks oder eines neuen Auftragsverarbeiters führt vor Beginn der neuen Verarbeitung zur Aktualisierung dieser Erklärung, zur Anpassung des updatedAt-Datums in der Kopfzeile und zu einem Hinweis am Seitenkopf für mindestens 30 Tage.

Hinweis zum berechtigten Interesse

Für jeden der oben genannten Zwecke, der auf berechtigtem Interesse (Art. 6 Abs. 1 lit. f) beruht, haben wir die dreistufige Prüfung nach den EDPB-Leitlinien 01/2024 und Erwägungsgrund 47 DSGVO vorgenommen:

das verfolgte Interesse ist berechtigt (Betrieb, Sicherung und Beantwortung von Anfragen eines rechtmäßigen redaktionellen Dienstes);
die Verarbeitung ist hierfür erforderlich (kein milderes Mittel erzielt dasselbe Ergebnis — etwa lassen sich Verbindungsprotokolle für die Vorfallsreaktion nicht ersetzen);
die Verarbeitung überwiegt die Grundrechte und Grundfreiheiten der betroffenen Person nicht, angesichts des begrenzten Datenumfangs, der kurzen Speicherdauer, der fehlenden Profilbildung und des öffentlichen Website-Kontextes, in dem die Daten übermittelt werden.

Sie können der Verarbeitung auf Grundlage berechtigter Interessen jederzeit nach Artikel 21 DSGVO widersprechen; das Verfahren ist in Abschnitt 7 beschrieben.

6. Cookies und ähnliche Technologien

Das vollständige Verzeichnis der auf der Website gesetzten oder ausgelesenen Cookies und ähnlichen Technologien — einschließlich Name, Zweck, Lebensdauer und beteiligter Dritter — finden Sie in der Cookie-Richtlinie. Sie können Ihre Einwilligung für nicht unbedingt erforderliche Tracker jederzeit über die Cookie-Einstellungen erteilen, verweigern oder widerrufen.

Die Einwilligung wird gemäß Artikel 5 Absatz 3 der Richtlinie 2002/58/EG in geänderter Fassung (ePrivacy-Richtlinie) sowie deren belgischer Umsetzung in Artikel 129 des Gesetzes vom 13. Juni 2005 über die elektronische Kommunikation eingeholt. Unbedingt erforderliche Tracker werden auf derselben Grundlage ohne Einwilligung gesetzt.

7. Ihre Rechte

Nach den Artikeln 15 bis 22 und 77 DSGVO stehen Ihnen folgende Rechte zu:

Auskunft über die zu Ihrer Person verarbeiteten Daten (Art. 15);
Berichtigung unrichtiger oder unvollständiger Daten (Art. 16);
Löschung („Recht auf Vergessenwerden“) in den Fällen des Artikels 17;
Einschränkung der Verarbeitung in den Fällen des Artikels 18;
Datenübertragbarkeit: Erhalt Ihrer Daten in einem strukturierten, gängigen, maschinenlesbaren Format oder Übermittlung an einen anderen Verantwortlichen in den Fällen des Artikels 20;
Widerspruch gegen die Verarbeitung auf Grundlage berechtigter Interessen (Art. 21);
Widerruf der Einwilligung jederzeit, ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird (Art. 7 Abs. 3);
keiner ausschließlich automatisierten Entscheidung mit rechtlicher oder vergleichbarer erheblicher Wirkung unterworfen zu sein (Art. 22); wir treffen keine derartigen Entscheidungen.

So üben Sie Ihre Rechte aus

Schreiben Sie an contact@autovig.eu. Geben Sie das geltend gemachte Recht und die betroffenen Daten an. Wir können nach Artikel 12 Absatz 6 DSGVO die ausschließlich zur Identitätsbestätigung erforderlichen Angaben anfordern, bevor wir tätig werden. Wir antworten innerhalb eines Monats nach Eingang des Antrags. Diese Frist kann unter Berücksichtigung der Komplexität und der Anzahl der Anträge um weitere zwei Monate verlängert werden; wir informieren Sie hierüber innerhalb des ersten Monats.

Auskunft, Berichtigung, Löschung, Einschränkung und Übertragbarkeit sind unentgeltlich, sofern Anträge nicht offenkundig unbegründet oder exzessiv sind (Art. 12 Abs. 5 DSGVO).

8. Beschwerderecht

Sind Sie der Auffassung, dass die Verarbeitung Ihrer Daten gegen die DSGVO verstößt, haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde einzulegen. Die für den Verantwortlichen zuständige Behörde ist:

Autorité de protection des données / Gegevensbeschermingsautoriteit (APD / GBA)
Rue de la Presse 35 / Drukpersstraat 35, 1000 Bruxelles / 1000 Brussel, Belgien
Telefon: +32 (0)2 274 48 00

Nach Artikel 77 Absatz 1 DSGVO können Sie zudem die Aufsichtsbehörde des EU- oder EWR-Mitgliedstaats Ihres gewöhnlichen Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes anrufen. Die Liste der nationalen Behörden wird vom Europäischen Datenschutzausschuss unter https://www.edpb.europa.eu/about-edpb/about-edpb/members_en veröffentlicht.

9. Internationale Übermittlungen — Garantien im Detail

Die einzige in Abschnitt 5 ausgewiesene Drittlandsübermittlung betrifft Google Analytics 4. Werden Reichweitenmessereignisse von Google Ireland Limited (Irland) an Google LLC (Vereinigte Staaten) weiterübermittelt, beruht die Übermittlung auf zwei kumulativen Garantien:

Standardvertragsklauseln — Modul 2 (Verantwortlicher an Auftragsverarbeiter) des Durchführungsbeschlusses (EU) 2021/914 der Kommission vom 4. Juni 2021, abgeschlossen zwischen dem Verantwortlichen und Google Ireland Limited und auf Google LLC als Unter-Auftragsverarbeiter nach Artikel 28 Absatz 2 DSGVO erstreckt.
Datenschutzrahmen EU–USA — Durchführungsbeschluss (EU) 2023/1795 der Kommission vom 10. Juli 2023; Google LLC ist selbstzertifiziert. Der aktuelle Status ist unter https://www.dataprivacyframework.gov abrufbar.

Eine Kopie der Garantien kann unter contact@autovig.eu angefordert werden. Weitere Drittlandsübermittlungen finden nicht statt.

10. Sicherheit der Verarbeitung

Wir setzen technische und organisatorische Maßnahmen nach Artikel 32 DSGVO um, unter Berücksichtigung des Stands der Technik, der Implementierungskosten, der Art und des Umfangs der Verarbeitung sowie der Risiken für die betroffenen Personen. Hierzu zählen: TLS-Transportverschlüsselung für den gesamten öffentlichen Verkehr, Zugriff auf Betriebssysteme nach dem Grundsatz der geringsten Rechte, Trennung der Build-, Staging- und Produktionsumgebungen, Auswertung der Logs auf Anomalien sowie ein dokumentiertes Verfahren zur Meldung an die APD/GBA innerhalb von 72 Stunden und an betroffene Personen ohne ungerechtfertigte Verzögerung, wenn die Verletzung voraussichtlich ein Risiko für ihre Rechte und Freiheiten birgt (Art. 33 und 34 DSGVO).

Wir begrüßen Meldungen vermuteter Schwachstellen nach unserer Richtlinie zur koordinierten Offenlegung. Konkrete technische Maßnahmen werden hier nicht benannt, da ihre Offenlegung den Schutz schwächen könnte.

11. Minderjährige

Die Website richtet sich nicht an Minderjährige; wir verarbeiten wissentlich keine personenbezogenen Daten von Minderjährigen unterhalb der Schwelle der digitalen Einwilligungsfähigkeit. In Belgien legt Artikel 7 Absatz 1 des Gesetzes vom 30. Juli 2018 diese Schwelle für unmittelbar an Minderjährige gerichtete Dienste der Informationsgesellschaft auf Einwilligungsbasis auf 13 Jahre fest. Erlangen Sie Kenntnis davon, dass uns ein Minderjähriger unterhalb dieser Schwelle Daten übermittelt hat, schreiben Sie an contact@autovig.eu; die Daten werden ohne ungerechtfertigte Verzögerung gelöscht.

12. Änderungen dieser Erklärung

Diese Erklärung kann mit der Weiterentwicklung der Website aktualisiert werden. Das updatedAt-Datum in der Kopfzeile gibt die letzte Überarbeitung an. Wesentliche Änderungen — etwa ein neuer Auftragsverarbeiter, ein neuer Zweck oder ein neuer Übermittlungsmechanismus — werden mindestens 30 Tage vor Inkrafttreten am Seitenkopf hervorgehoben. Frühere Fassungen sind auf Anfrage unter contact@autovig.eu erhältlich.

13. Inkrafttreten

Diese Erklärung tritt mit dem in der Kopfzeile ausgewiesenen updatedAt-Datum in Kraft und ersetzt alle früheren Fassungen.

Quellen

Die folgenden Rechtsakte werden oben angeführt oder umgesetzt. Jeder Link verweist auf den konsolidierten Permalink.