Datenschutzerklärung

Kompromissloser Datenschutz steht seit Gründung der Threema GmbH (nachfolgend «Threema») im Mittelpunkt. Es ist unser vordringlichstes Ziel, möglichst nur die absolut notwendigen Informationen für die kürzestmögliche Zeit zu speichern («Privacy by Design»). Zusätzlich zur Anwendung modernster Verschlüsselungsverfahren ergreifen wir sämtliche notwendigen technischen und organisatorischen Massnahmen, um den unbefugten Datenzugriff und Missbrauch von Daten zu verhindern. Verarbeitung und Schutz der Daten erfolgen im Einklang mit den geltenden gesetzlichen Bestimmungen und der EU-Verordnung 2016/679 (DSGVO).

1. Allgemeines

Die Threema-App (nachfolgend «Threema») wurde entwickelt, um möglichst wenig Metadaten auf einem zentralen Server zu hinterlassen. Die Angabe von Personendaten ist deshalb für die Nutzung der App nicht zwingend notwendig. Die Identifikation eines Teilnehmers erfolgt ausschliesslich über eine 8-stellige ID und ein vom Nutzer selbst erstelltes Schlüsselpaar. Gruppen werden nur auf den beteiligten Endgeräten verwaltet.

Threema kann ohne die Angabe personenbezogener Daten genutzt werden. Falls Sie freiwillig Ihre Rufnummer oder E-Mail Adresse angeben, bestätigen Sie gemäss Art. 8 DSGVO, mindestens 16 Jahre alt zu sein oder über die Einwilligung Ihres Erziehungsberechtigten zu verfügen. Durch die Nutzung der App erklären Sie sich mit der Erhebung, Verarbeitung und Nutzung von Daten gemäss der nachfolgenden Beschreibung einverstanden.

2. Zweck der Datenbearbeitung

Threema bearbeitet Daten, um die Übertragung von Kurznachrichten und Medien an andere Teilnehmer zu ermöglichen. Die verarbeiteten Daten werden ausschliesslich durch Threema auf der eigenen Server-Infrastruktur in der Schweiz bearbeitet und nicht an Dritte weitergegeben.

3. Umfang und Dauer der Datenbearbeitung

A. Bestandsdaten

Im Rahmen der Nutzung von Threema werden folgende Bestandsdaten erhoben bzw. gespeichert:

- Threema -ID
- Öffentlicher Schlüssel
- Betriebssystem und Version der Threema-App
- Datum (ohne Uhrzeit) der Erstellung der Threema-ID
- Datum (ohne Uhrzeit) des letzten Logins

Die folgenden Angaben sind optional und können durch den Nutzer auf Wunsch zusätzlich angegeben werden, um das Auffinden und die Erkennbarkeit zu erleichtern:

- Nickname
- Handynummer (einwegverschlüsselt)
- E-Mail-Adresse (einwegverschlüsselt)

Davon werden beim Austausch von Nachrichten nur die folgenden Informationen an andere Teilnehmer weitergegeben:

- Threema-ID
- Öffentlicher Schlüssel
- Nickname

Eine Weitergabe an Dritte findet nicht statt.

Alle Angaben werden nur so lange gespeichert, bis sie durch den Benutzer gelöscht werden. Wenn die Informationen gelöscht sind, können sie nicht mehr wiederhergestellt werden .

B. Nachrichteninhalte

Threema verschlüsselt sämtliche Nachrichten, einschliesslich Steuernachrichten mit einem hochsicheren Ende-zu-Ende-Verschlüsselungsverfahren

Die Header-Informationen einer Nachricht (Absender, Empfänger etc.) werden für die Übertragung an den Server, bzw. vom Server an den Empfänger, zusätzlich verschlüsselt, um ein Mithören dieser Informationen durch Dritte (z.B. in offenen Wireless LANs) zu verunmöglichen.

Die Threema GmbH als Betreiberin der Threema-Server hat keine Möglichkeit, Nachrichten der Benutzer zu entschlüsseln, da sie keinerlei Kenntnis der privaten Schlüssel hat.

Verschlüsselte Nachrichten und Medien (Bilder, Videos, Dateien etc.) werden auf den Servern vollständig gelöscht, sobald sie erfolgreich zugestellt wurden. Werden die Nachrichten und Medien nicht oder nicht vollständig abgeholt, werden sie nach zwei Wochen automatisch und unwiederbringlich vom Server gelöscht.

C. Adressbuchdaten

Auf ausdrücklichen Wunsch des Nutzers können E-Mail-Adressen und Telefonnummern aus dem Adressbuch abgeglichen werden. Diese Daten werden nur einwegverschlüsselt («gehasht») und zusätzlich mit SSL gesichert an die Server übertragen. Die Server halten diese Hashes nur kurzzeitig im Arbeitsspeicher, um die Liste der übereinstimmenden Threema-IDs zu ermitteln, und löschen sie sofort wieder. Zu keinem Zeitpunkt werden die Hashes oder die Ergebnisse des Abgleichs auf einen Datenträger geschrieben.

4. Durch Dritte bearbeitete Daten

Threema GmbH gibt grundsätzlich keine Daten an Dritte weiter, ist vollständig werbefrei und benutzt keine Analysesoftware, um das Nutzerverhalten zu beobachten. Einige Funktionalitäten können jedoch nur mittels Nutzung externer Datenquellen, Frameworks oder Betriebssystem-Funktionen erbracht werden, welche ihrerseits Daten bearbeiten und einer separaten Datenschutzerklärung unterliegen.

A. Absturz-Benachrichtigungen

Um die Stabilität und Zuverlässigkeit der App verbessern zu können, ist Threema auf anonymisierte Absturzberichte angewiesen.

iOS / Windows Phone: Falls der Benutzer nach einem Absturz der App freiwillig und ausdrücklich der Übermittlung eines Absturzberichts zustimmt, werden Informationen zum Absturz (Zustand der App zum Zeitpunkt des Absturzes) an die Server von HockeyApp (ein Microsoft-Unternehmen) übertragen und dort zur Auswertung durch die Threema GmbH gespeichert. Wenn der User der Übermittlung der Absturzbenachrichtigung nicht zustimmt, wird nichts gesendet. Die Datenschutzbestimmungen von HockeyApp sind unter https://www.hockeyapp.net/imprint/ zu finden. Absturzberichte enthalten normalerweise keine persönlichen Informationen. Unter iOS bestehen sie aus einem Stack-Trace, einigen Informationen über das Gerät (Modell, Betriebssystemversion, aber keiner Seriennummer o.ä.), der App-Version, dem Zeitstempel des Starts und des Absturzes, und der Liste von Softwarebibliotheken, die im Speicher geladen sind. Es sind keine Prozessorregisterinhalte oder Lognachrichten enthalten.

Android: Falls der Benutzer bei der Einrichtung seines Handys freiwillig und ausdrücklich der generellen Übermittlung von Absturzbenachrichtigungen an Google zustimmt, werden nach einem Absturz der App Informationen (Zustand der App zum Zeitpunkt des Absturzes, Stack-Trace, Hersteller und Betriebssystem des Handys, letzte Log-Meldungen) an Google übertragen und dort zur Auswertung durch die Threema GmbH gespeichert. Diese Informationen enthalten keine personenbezogenen Daten.

B. Standort senden (Android)

Die Funktion «Standort senden» greift bei Vorhandensein der Google Play-Dienste auf dem Endgerät auf deren API zu, um Anzeige bzw. Auswahl von Karten, Standorten und POIs zu ermöglichen. Die Nutzung der Google Play-Dienste wird durch die Google Datenschutzerklärung bestimmt.

Sind auf dem Endgerät keine Google Play-Dienste installiert, greift Threema für die Darstellung von Karten auf die API der OpenStreetMap Foundation zu. Die Nutzung der OpenStreetMap APIs unterliegt den Datenschutzbestimmung der OpenStreetMap Foundation. http://wiki.openstreetmap.org/wiki/Privacy_Policy

5. Recht auf Auskunft, Berichtigung, Sperre, Löschung und Widerspruch

Sie haben das Recht, jederzeit Auskunft über Ihre bei der Threema GmbH gespeicherten personenbezogenen Daten zu erhalten. Ebenso haben Sie das Recht auf Berichtigung, Sperrung oder (abgesehen von der gesetzlich vorgeschriebenen Datenspeicherung zur Geschäftsabwicklung) Löschung Ihrer personenbezogenen Daten.

Die gespeicherten Bestandsdaten sind jederzeit innerhalb von Threema im Register «Meine ID» ersichtlich und können dort durch den Nutzer mit sofortiger Wirkung berichtigt oder gelöscht werden. Zudem können Sie diese Daten in maschinenlesbarer Form abfragen: https://threema.ch/de/faq/get_my_data

Bei Verlust des Endgeräts können mit einer Threema-ID verknüpft Handynummern und E-Mail-Adressen über folgenden Link gelöscht werden: https://myid.threema.ch/unlink

Die unwiederbringliche Löschung sämtlicher personenbezogenen Daten in Zusammenhang mit Ihrer Threema-ID und der Widerruf des Schlüsselpaars kann direkt durch den Nutzer über folgenden Link vorgenommen werden: https://myid.threema.ch/revoke

6. Verantwortliche Stelle

Wenn Sie Fragen zum Datenschutz bei der Threema GmbH haben, können Sie sich direkt an uns wenden. Senden Sie uns eine E-Mail an privacy@threema.ch.

Verantwortliche Stelle und direkter Kontakt im Sinne des Datenschutzrechts bei der Threema GmbH:

Threema GmbH
Datenschutzbeauftragter
Churerstrasse 82
8808 Pfäffikon SZ
Schweiz
privacy@threema.ch

CHE‑221.440.104

Vertreter in der EU i.S. Art. 27 Abs. 1 DSGVO: GeKaCe GmbH, Abt. T, Weilerweg 13, 72411 Bodelshausen, Deutschland

7. Änderung der Datenschutzbestimmungen

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, um geänderten rechtlichen Anforderungen gerecht zu werden oder neue Funktionalitäten in der Datenschutzerklärung umzusetzen. Die aktuelle Datenschutzerklärung finden Sie stets in Threema verlinkt.