Datenschutzerklärung
1. Allgemeines
Die «Threema-App» wurde entwickelt, um möglichst wenig Metadaten auf einem zentralen Server zu bearbeiten und zu speichern. Die Identifikation einer Nutzerin oder eines Nutzers der Threema-App (nachfolgend «Nutzer») erfolgt ausschliesslich über eine 8-stellige alphanumerische ID (nachfolgend «Threema-ID») und einen öffentlichen Schlüssel, welche beide vom Nutzer beim Einrichten der Threema-App zufällig generiert werden.
A. Geltungsbereich
Die vorliegende Datenschutzerklärung gilt für sämtliche Datenbearbeitungen, welche bei der Nutzung der Threema-App in ihrer jeweils aktuellsten Version mit Personendaten in Zusammenhang stehen, nämlich:
A. Einrichtung der Threema-App;
B. Adressbuchabgleich;
C. Versand von Nachrichten;
D. Versand von Nachrichten an Broadcast-IDs;
E. Sprach- und Videoanrufe;
F. Gruppenanrufe;
G. Lizenzprüfung;
H. Absturzberichte.
Bei Threema als für die Datenbearbeitung verantwortliche Person handelt es sich um eine Gesellschaft mit beschränkter Haftung nach schweizerischem Recht mit Sitz in Pfäffikon SZ (politische Gemeinde Freienbach), Schweiz, und Unternehmensidentifikationsnummer (nachfolgend «UID») CHE-221.440.104.
Personendaten werden bei der Nutzung der Threema-App durch den Nutzer, sofern nicht anders in dieser Datenschutzerklärung angegeben, ausschliesslich auf Threema-eigenen Servern in zwei Rechenzentren eines «ISO 27001»-zertifizierten Colocation Partners mit Standorten in Zürich, Schweiz, bearbeitet und allenfalls gespeichert (nachfolgend «Threema-Server»).
Als Unternehmen mit Sitz in der Schweiz unterliegen Threema und die von ihr ausgeführten Datenbearbeitungen dem schweizerischen Datenschutzrecht (Bundesgesetz über den Datenschutz vom 25. September 2020, SR 235.1; nachfolgend «DSG»). Für betroffene Personen, die sich auf dem Gebiet der EU oder des EWR aufhalten (gekennzeichnet mit «für EU/EWR»), kann zusätzlich europäisches Datenschutzrecht (Verordnung (EU) 2016/679 vom 27. April 2016, Datenschutz-Grundverordnung; nachfolgend «DSGVO») zur Anwendung gelangen.
Bei Personendaten gemäss Art. 5 lit. a DSG [für EU/EWR: Art. 4 Nr. 1 DSGVO] handelt es sich um Informationen, die sich auf eine bestimmte oder bestimmbare natürliche Person beziehen.
B. Verantwortliche
Threema GmbH
Churerstrasse 82
8808 Pfäffikon SZ
Schweiz
UID: CHE-221.440.104
C. Datenschutzberater
Threema GmbH
Datenschutzberater
Churerstrasse 82
8808 Pfäffikon SZ
Schweiz
E-Mail: privacy at threema punkt ch
D. Vertreterin in der EU (Art. 27 DSGVO)
ACC Datenschutz UG
Messestrasse 6
94036 Passau
Deutschland
E. Schweizerische Aufsichtsbehörde
Eidgenössischer Datenschutz- und Öffentlichkeitsbeauftragter (EDÖB)
Feldweg 1
3003 Bern
Schweiz
Telefon: +41 58 462 43 95
Kontaktformular des EDÖB: Link
2. Bearbeitungstätigkeiten
Je nach Nutzung der Threema-App durch den Nutzer bearbeitet Threema unterschiedliche Kategorien von Personendaten über den Nutzer zu unterschiedlichen Zwecken, gestützt auf unterschiedliche Rechtsgrundlagen und mit unterschiedlichen Speicherdauern, falls überhaupt Personendaten gespeichert werden.
A. Einrichtung der Threema-App
Bearbeitungstätigkeit
Bei der Einrichtung der Threema-App auf dem Mobilgerät des Nutzers werden zusätzlich zur Threema-ID und dem Schlüsselpaar (öffentlicher und privater Schlüssel) verschiedene Daten generiert, welche auf den Threema-Servern mit der Threema-ID verknüpft werden.
Kategorien bearbeiteter Personendaten
Folgende Personendaten werden bei der Einrichtung der Threema-App generiert und auf den Threema-Servern als Bestandsdaten gespeichert:
- Google-Pushtoken (Android);
- Apple-Pushtoken (iOS).
Hinweis: Bei Mobilgeräten ohne Google-Play-Dienste sowie bei der Version «Threema Libre» der Threema-App werden keine Google-Pushtoken generiert. Nähere Informationen zu Threema Libre finden Nutzer auf der Website von Threema: Link
Folgende für die Nutzung der Threema-App optionale Personendaten können vom Nutzer freiwillig angegeben werden und werden auf den Threema-Servern nur in Form einwegverschlüsselter Hashwerte als Bestandsdaten gespeichert:
- Telefonnummer (einwegverschlüsselt);
- E-Mail-Adresse (einwegverschlüsselt).
Sämtliche Personendaten, einschliesslich der einwegverschlüsselten Hashwerte, werden auf ihrem Weg zu den Threema-Servern mittels Transportverschlüsselung geschützt, um ein Mitlesen der Daten durch Dritte zu verunmöglichen.
Hinweis: Bevor die Telefonnummer und/oder E-Mail-Adresse eines Nutzers mit seiner Threema-ID verknüpft wird, müssen diese Personendaten in einem automatisierten Prozess als diejenigen des Nutzers verifiziert werden.
Verifikation E-Mail-Adresse: Für die Verifikation der E-Mail-Adresse eines Nutzers wird diese nach Eingabe in der Threema-App an die Threema-Server übermittelt und im Klartext bearbeitet, um dem Nutzer eine E-Mail mit einem Bestätigungslink zu senden.
Verifikation Telefonnummer: Für die Verifikation der Telefonnummer eines Nutzers wird diese nach Eingabe in der Threema-App an die Threema-Server übermittelt und im Klartext bearbeitet. Der Nutzer erhält anschliessend einen Bestätigungscode per SMS.
Für die Zustellung des Bestätigungscodes an den Nutzer zur Verifikation der Telefonnummer setzt Threema auf die Dienste «eCall» der F24 Schweiz AG, Samstagernstrasse 45, 8832 Wollerau, Schweiz, (nachfolgend «F24») sowie «IMASYS» der Swissphone Wireless AG, Fälmisstrasse 21, 8833 Samstagern, Schweiz (nachfolgend «Swissphone»). Sowohl F24 als auch Swissphone sind «ISO 27001»-zertifiziert und hosten ihre Dienste «eCall» und «IMASYS» in der Schweiz. Nähere Informationen zum Datenschutz bei F24 und Swissphone finden Nutzer auf den Websites von F24 (Link) bzw. Swissphone (Link).
Hinweis für Nutzer ausserhalb der Schweiz und EU/EWR: Für die Zustellung der Bestätigungscodes per SMS an Nutzer ausserhalb der Schweiz sowie EU/EWR setzt Threema auf die Dienste von Twilio Inc., 101 Spear Street, 5th Floor, San Francisco, Kalifornien, 94105, USA (nachfolgend «Twilio»). Nähere Informationen zum Datenschutz bei Twilio finden Nutzer unter folgendem Link von Twilio: Link
Zweck
Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:
- Nutzung der Funktionen der Threema-App durch den Nutzer (Vertragserfüllung).
Rechtsgrundlage
Die Bearbeitung und Speicherung der Personendaten für die Einrichtung der Threema-App erfolgt auf Grundlage überwiegender privater Interessen (Nutzung Threema-App durch den Nutzer; Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].
Notwendigkeit
Die Bearbeitung der Personendaten des Nutzers bei der Einrichtung der Threema-App ist notwendig, um dem Nutzer die vertraglich vereinbarte Nutzung der Threema-App zu ermöglichen.
Speicherdauer
Das im Rahmen der Einrichtung der Threema-App gespeicherte Pushtoken wird für maximal 1 Jahr, gerechnet ab dem Datum der letzten Verbindung einer Threema-ID zu den Threema-Servern, auf den Threema-Servern gespeichert und anschliessend automatisch gelöscht. Der Nutzer kann das gespeicherte Pushtoken jederzeit löschen (siehe Ziff. 6).
Die einwegverschlüsselten Hashwerte der Telefonnummer und/oder E-Mail-Adresse eines Nutzers werden bis auf Widerruf auf den Threema-Servern gespeichert, damit Nutzer bei einer Reaktivierung ihrer Threema-ID über ein Backup diese Daten nicht erneut verknüpfen müssen. Der Nutzer kann diese Daten jederzeit löschen (siehe Ziff. 6).
Die zur Verifikation bearbeitete Telefonnummer und/oder E-Mail-Adresse eines Nutzers wird für maximal 1 Monat als einwegverschlüsselter Hashwert auf den Threema-Servern gespeichert, sofern der Nutzer den Verifikationsprozess nicht abschliesst. Bei erfolgreicher Verifikation werden die Telefonnummer und/oder E-Mail-Adresse als einwegverschlüsselte Hashwerte mit der Threema-ID des Nutzers verknüpft.
B. Adressbuchabgleich
Bearbeitungstätigkeit
Um das Auffinden anderer Nutzer der Threema-App zu erleichtern, kann ein Nutzer freiwillig seine Telefonnummer und/oder E-Mail-Adresse in der Threema-App angeben und mit seiner Threema-ID verknüpfen (siehe Ziff. 2.A.).
Aktivieren Nutzer in der Threema-App freiwillig die optionale Kontaktsynchronisation, werden manuell (durch Herunterziehen der Kontaktliste) oder automatisch ca. alle 24 Stunden einwegverschlüsselte Hashwerte von Telefonnummern und/oder E-Mail-Adressen in der Kontaktliste ihres Mobilgeräts an die Threema-Server übermittelt, um nach identischen Hashwerten von Telefonnummern und E-Mail-Adressen zu suchen, die andere Nutzer mit ihren Threema-IDs verknüpft haben. Falls identische Hashwerte gefunden werden, erscheinen diese Nutzer in der auf dem Mobilgerät gespeicherten Kontaktliste der Threema-App. So bleibt die lokal gespeicherte Kontaktliste der Threema-App automatisch aktuell.
Kategorien bearbeiteter Personendaten
Für einen Adressbuchabgleich werden folgende Personendaten nur als einwegverschlüsselte Hashwerte auf den Threema-Servern bearbeitet:
- Telefonnummer des Nutzers und seiner Kontakte (einwegverschlüsselt);
- E-Mail-Adresse des Nutzers und seiner Kontakte (einwegverschlüsselt).
Zusätzlich werden die einwegverschlüsselten Hashwerte auf ihrem Weg zu den Threema-Servern mittels Transportverschlüsselung geschützt, um ein Mitlesen der Hashwerte durch Dritte zu verunmöglichen.
Zweck
Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:
- Nutzung der Funktionen der Threema-App durch den Nutzer (Vertragserfüllung).
Rechtsgrundlage
Die Bearbeitung der Telefonnummer und/oder E-Mail-Adresse eines Nutzers sowie derjenigen von Personen in der Kontaktliste auf dem Mobilgerät eines Nutzers (beide nur in Form einwegverschlüsselter Hashwerte) für Adressbuchabgleiche in der Kontaktliste eines Nutzers in der Threema-App erfolgt auf Grundlage überwiegender privater Interessen (Nutzung Threema-App durch den Nutzer; Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].
Notwendigkeit
Die Bearbeitung der Telefonnummer und/oder der E-Mail-Adressen von Personen in der Kontaktliste auf dem Mobilgerät eines Nutzers ist notwendig, um dem Nutzer die vertraglich vereinbarte Nutzung der Threema-App zu ermöglichen.
Speicherdauer
Die Speicherdauer der zum Zweck des Adressbuchabgleichs vom Nutzer angegebenen Telefonnummer und/oder E-Mail-Adresse ist identisch mit jener von Bestandsdaten, die für die Einrichtung der Threema-App bearbeitet werden (siehe Ziff. 2. A.).
Die einwegverschlüsselten Hashwerte der Telefonnummern und/oder der E-Mail-Adressen von Personen in der Kontaktliste auf dem Mobilgerät eines Nutzers werden nach Durchführung eines Adressbuchabgleichs sofort von den Threema-Servern gelöscht. Sie werden im Gegensatz zur mit der Threema-ID eines Nutzers verknüpften Telefonnummer und/oder E-Mail-Adresse nie dauerhaft auf den Threema-Servern gespeichert.
C. Versand von Nachrichten
Bearbeitungstätigkeit
Die Threema-App verschlüsselt sämtliche Nachrichteninhalte (Textnachrichten, Mediendateien und Systemnachrichten) sowie die freiwillig und optional gesetzten Nicknames und Profilbilder von Nutzern mit einem sicheren Ende-zu-Ende-Verschlüsselungsverfahren.
Da der private Schlüssel zur Entschlüsselung einer Nachricht ausschliesslich auf dem Mobilgerät des Empfängers gespeichert ist, kann Threema keine Kenntnis von Nachrichteninhalten der Nutzer erlangen.
Nähere Informationen zur Verschlüsselung in der Threema-App finden interessierte Nutzer unter anderem in Threemas Cryptography Whitepaper auf der Website von Threema: Link
D. Versand von Nachrichten an Broadcast-IDs
Bearbeitungstätigkeit
Neben der Threema-App für Konsumenten bietet Threema unter der Bezeichnung «Threema Work» auch Software für Geschäftskunden an. Threema Work bietet im Vergleich zur Threema-App zusätzliche Funktionen an, darunter «Threema Broadcast».
Mit Threema Broadcast können besondere Threema-IDs eingerichtet werden, welche durch einen Asterisk («*») zu Beginn der ebenfalls achtstelligen ID gekennzeichnet sind (nachfolgend «Broadcast-ID»).
Broadcast-IDs dienen grundsätzlich der einseitigen One-to-Many-Kommunikation, also dem Versand derselben Nachricht an mehrere Nutzer, während unter den Nutzern der Threema-App eine zweiseitige One-to-One-Kommunikation stattfindet. Trotzdem können Nutzer der Threema-App Nachrichten an Broadcast-IDs versenden.
Hinweis: Eine Broadcast-ID kann gleich einer Threema-ID Nachrichten von Nutzern empfangen. Als Endpunkt der Ende-zu-Ende-Verschlüsselung werden solche Nachrichten mit dem privaten Schlüssel der Broadcast-ID auf den Threema-Servern entschlüsselt, jedoch mit einer Ausnahme nie dauerhaft gespeichert.
«Nachrichtenverlauf speichern»-Funktion: Mit Broadcast-IDs können Gruppen erstellt und Nutzer der Threema-App in diese Gruppen eingeladen werden. In solchen Gruppen steht dem Geschäftskunden hinter der Broadcast-ID die Funktion «Nachrichtenverlauf speichern» zur Verfügung.
Nutzer können Gruppen einer Broadcast-ID, in denen die «Nachrichtenverlauf speichern»-Funktion aktiviert ist, am «Wölkchen»-Emoji» (☁️) erkennen, welches bei Aktivierung der Funktion technisch zwingend dem Namen der Gruppe der Broadcast-ID vorangestellt wird. Zusätzlich erhalten Nutzer, welche vor Aktivierung (oder Deaktivierung) der Funktion in einer entsprechenden Gruppe Mitglied waren, automatisch eine Warnung in Form einer Systemnachricht.
Ist diese Funktion aktiviert, werden alle verschlüsselten Nachrichteninhalte, welche Nutzer in eine Gruppe einer Broadcast-ID senden, bei ihrem Eingang bei der Broadcast-ID auf den Threema-Servern nicht nur entschlüsselt, sondern auch gespeichert.
Hinweis: Die verantwortliche Person für die Bearbeitung entschlüsselter Nachrichteninhalte im Zusammenhang mit der Nutzung der «Nachrichtenverlauf speichern»-Funktion bei einer Broadcast-ID ist der jeweilige Geschäftskunde von Threema, der über die Aktivierung und somit die Zwecke und Mittel dieser Datenbearbeitung entscheidet. Threema bearbeitet diese Personendaten im Auftrag ihres Geschäftskunden, d.h. als Auftragsbearbeiterin.
Kategorien bearbeiteter Personendaten
Folgende Personendaten werden nach Eingang einer Nachricht bei einer Broadcast-ID auf den Threema-Servern bearbeitet und bei aktivierter «Nachrichtenverlauf speichern»-Funktion gespeichert:
- Nachrichteninhalte (entschlüsselt).
Zweck
Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:
- Nutzung der Funktionen der Threema-App durch den Nutzer (Vertragserfüllung);
- Nutzung der Funktionen von Threema Broadcast durch Geschäftskunden (Vertragserfüllung).
Rechtsgrundlage
Die Bearbeitung entschlüsselter Nachrichteninhalte von Nutzern sowie ihre Speicherung in einer Gruppe mit aktivierter «Nachrichtenverlauf speichern»-Funktion einer Broadcast-ID erfolgt auf Grundlage überwiegender privater Interessen (Nutzung Threema-App durch den Nutzer; Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].
Notwendigkeit
Diese Datenbearbeitung ist notwendig, um Geschäftskunden die vertraglich vereinbarte Nutzung von Threema Broadcast zu ermöglichen.
Speicherdauer
Die entschlüsselten Nachrichteninhalte werden für nachfolgende Dauern, gerechnet ab dem Eingang bei der Broadcast-ID, auf den Threema-Servern gespeichert und anschliessend automatisch gelöscht:
- Textnachrichten: 180 Tage;
- Umfragen: Antworten von Nutzern auf Umfragen einer Broadcast-ID für maximal 180 Tage, gerechnet ab Versand der Umfrage durch die Broadcast-ID.
E. Sprach- und Videoanrufe
Bearbeitungstätigkeit
Nutzer der Threema-App können sowohl Textnachrichten und Mediendateien austauschen als auch unabhängig vom öffentlichen Telefonnetz via internetgestützte Sprach- und Videoanrufe untereinander kommunizieren.
Beim Starten von Sprach- und Videoanrufen wird eine verschlüsselte Systemnachricht (siehe Ziff. 2.C.) durch die Threema-App verschickt, um den Anruf mit dem korrekten Nutzer der Threema-App aufzubauen und diesen über den eingehenden Anruf zu informieren. Der angerufene Nutzer antwortet mit einer entsprechenden verschlüsselten Systemnachricht, welche den anrufenden Nutzer informiert, ob der angerufene Nutzer den Anruf annimmt oder ablehnt.
Sofern der angerufene Nutzer den Anruf annimmt, werden die IP-Adressen der beiden Nutzer an die Threema-Server übermittelt und bearbeitet. Diese Bearbeitung endet grundsätzlich mit dem Aufbau einer direkten Peer-to-Peer-Verbindung zwischen den Nutzern ohne weitere Bearbeitung der IP-Adressen auf den Threema-Servern. Die weitere Übermittlung des Sprach- oder Videoanrufs erfolgt nur in nachfolgenden Fällen über die Threema-Server:
- Der Aufbau der Peer-to-Peer-Verbindung scheitert;
- Der Kontakt des anrufenden Nutzers wird in der Kontaktliste des angerufenen Nutzers mit der Vertrauensstufe 1 (rot) angezeigt;
- Einer der Gesprächsteilnehmer hat die Option «Anrufe immer über Server» aktiviert.
Wie beim Versand von Nachrichten (siehe Ziff. 2.C.) verschlüsselt die Threema-App sämtliche Gesprächsinhalte von Sprach- und Videoanrufen mit einem sicheren Ende-zu-Ende-Verschlüsselungsverfahren. Threema kann keine Kenntnis von Gesprächsinhalten der Nutzer erlangen.
Kategorien bearbeiteter Personendaten
Folgende Personendaten werden für den Aufbau und, sofern keine Peer-to-Peer-Verbindung zwischen den Nutzern hergestellt wurde, für die anschliessende Übermittlung des Sprach- oder Videoanrufs zwischen Nutzern auf den Threema-Servern bearbeitet:
- IP-Adressen der Gesprächsteilnehmer.
Es kommt erst zu einer Bearbeitung der IP-Adressen der Gesprächspartner, nachdem der angerufene Nutzer einen Sprach- oder Videoanruf angenommen hat.
Nutzer können Sprach- und Videoanrufe in der Threema-App generell deaktivieren.
Zweck
Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:
- Nutzung der Funktionen der Threema-App durch den Nutzer (Vertragserfüllung).
Rechtsgrundlage
Die Bearbeitung von IP-Adressen für den Aufbau und die etwaige Übermittlung von Sprach- und Videoanrufen erfolgt auf Grundlage überwiegender privater Interessen (Nutzung Threema-App durch den Nutzer; Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].
Notwendigkeit
Diese Bearbeitung von IP-Adressen für den Aufbau und die etwaige Übermittlung von Sprach- und Videoanrufen ist notwendig, um dem Nutzer die vertraglich vereinbarte Nutzung der Threema-App zu ermöglichen.
Speicherdauer
Die IP-Adressen der Nutzer werden entweder nach erfolgreichem Aufbau einer Peer-to-Peer-Verbindung zwischen den Gesprächsteilnehmern oder nach Beendigung des Sprach- oder Videoanrufs, falls dieser via die Threema-Server übermittelt wird, sofort von den Threema-Servern gelöscht. IP-Adressen werden bei Sprach- und Videoanrufen nie dauerhaft auf den Threema-Servern gespeichert.
F. Gruppenanrufe
Bearbeitungstätigkeit
Die Threema-App ermöglicht sowohl individuelle Sprach- und Videoanrufe zwischen zwei Nutzern als auch «Gruppenanrufe» mit gleichzeitig mehr als zwei Nutzern der Threema-App.
Als Mitglied einer Gruppe kann ein Nutzer mit den übrigen Mitgliedern der Gruppe einen Gruppenanruf starten, der wie individuelle Anrufe sowohl Sprach- als auch Videoübertragung erlaubt.
Gruppenanrufe werden nur über spezielle Server, sogenannte «Selective Forwarding Units» (nachfolgend «SFU»), übermittelt. Um einen Gruppenanruf zu starten, muss ein Nutzer zunächst eine Verbindung zu den SFU aufbauen, wofür seine IP-Adresse bearbeitet wird. Sobald die Verbindung zu den SFU erfolgreich hergestellt wurde, erhalten die übrigen Mitglieder einer Gruppe die Systemnachricht, dass ein Gruppenanruf gestartet wurde, und sie können diesem beitreten. Wie beim Aufbau von individuellen Sprach- und Videoanrufen werden dabei verschlüsselte Systemnachrichten (siehe Ziff. 2.C.) durch die Threema-App verschickt, um den korrekten Nutzern der Threema-App den Beitritt zum Gruppenanruf zu ermöglichen und diese über den gestarteten Gruppenanruf zu informieren.
Nach der ersten Information der übrigen Mitglieder der Gruppe mithilfe einer Systemnachricht fragen sämtliche Threema-Apps der Mitglieder einer Gruppe, einschliesslich desjenigen, der den Gruppenanruf gestartet hat, wiederkehrend den Status des Gruppenanrufs auf den SFU ab, bis der Gruppenanruf beendet wurde. Solange der Gruppenanruf aktiv ist, werden die IP-Adressen sämtlicher Mitglieder der Gruppe, einschliesslich derjenigen, die dem Gruppenanruf nicht beitreten, wiederkehrend bearbeitet, um den Status des Gruppenanrufs auf den SFU abfragen zu können, und dauerhaft bearbeitet, um während der Teilnahme an einem Gruppenanruf die Verbindung zu den SFU aufrechtzuerhalten.
Kategorien bearbeiteter Personendaten
Folgende Personendaten werden für den Aufbau und die Übertragung eines Gruppenanrufs auf den SFU bearbeitet:
- IP-Adressen der Nutzer, welche in der Threema-App zu einer Gruppe gehören, in der ein Nutzer einen Gruppenanruf gestartet hat.
Anders als bei individuellen Sprach- und Videoanrufen werden die IP-Adressen der Nutzer, welche in der Threema-App zu einer Gruppe gehören, in der ein Nutzer einen Gruppenanruf gestartet hat, bereits ab Zustellung der Systemnachricht, dass ein Gruppenanruf gestartet wurde, auf den SFU bearbeitet.
Hinweis: Diese Bearbeitung von IP-Adressen findet insbesondere auch dann statt, wenn ein Nutzer Gruppenanrufe in der Threema-App deaktiviert hat.
Für Gruppenanrufe werden sowohl die Threema-Server wie auch SFU genutzt, welche von Leaseweb Netherlands B.V., Hessenbergweg 95, 1101 CX Amsterdam, Niederlande, betrieben werden (nachfolgend «Leaseweb»). Die SFU befinden sich in einem «ISO 27001»-zertifizierten Rechenzentrum von Leaseweb in Amsterdam, Niederlande. Nähere Informationen zum Datenschutz bei Leaseweb finden Nutzer auf der Website von Leaseweb: Link
Die Niederlande sind Mitglied der Europäischen Union und befinden sich im Geltungsbereich der DSGVO sowie auf der Staatenliste im Anhang 1 zur Verordnung über den Datenschutz vom 31. August 2022 («DSV»; SR. 235.11) und bieten deshalb einen angemessenen Datenschutz; Art. 16 Abs. 1 DSG in Verbindung mit Art. 8 Abs. 1 DSV.
Wie bei individuellen Sprach- und Videoanrufen (siehe Ziff. 2.E.) verschlüsselt die Threema-App sämtliche Gesprächsinhalte eines Gruppenanrufs mit einem sicheren Ende-zu-Ende-Verschlüsselungsverfahren. Weder Threema noch Leaseweb können Kenntnis von Gesprächsinhalten der Nutzer erlangen.
Zweck
Die vorgenannten Personendaten werden zu den folgenden Zwecken von Threema bearbeitet:
- Nutzung der Funktionen der Threema-App durch den Nutzer (Vertragserfüllung).
Die Nutzung von SFU von Leaseweb für Gruppenanrufe dient dem Zweck, Nutzern der Threema-App eine möglichst geringe Latenz und eine reibungslose Kommunikation bei der Nutzung von Gruppenanrufen zu gewährleisten.
Rechtsgrundlage
Die Bearbeitung von IP-Adressen für den Aufbau und die etwaige Übermittlung von Gruppenanrufen erfolgt auf Grundlage überwiegender privater Interessen (Nutzung Threema-App durch den Nutzer; Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].
Notwendigkeit
Die Bearbeitung von IP-Adressen für den Aufbau und die etwaige Übermittlung von Gruppenanrufen ist notwendig, um dem Nutzer die vertraglich vereinbarte Nutzung der Threema-App zu ermöglichen.
Speicherdauer
Die IP-Adressen der Nutzer, welche für den Aufbau und die Übertragung von Gruppenanrufen auf den SFU bearbeitet werden, werden nach Beendigung des Gruppenanrufs sofort von den SFU gelöscht, unabhängig davon, ob es sich um die SFU von Threema oder Leaseweb handelt. IP-Adressen werden bei Gruppenanrufen nie dauerhaft gespeichert.
G. Lizenzprüfung
Bearbeitungstätigkeit
Threema wird nicht mit dem Verkauf der Daten von Nutzern finanziert, sondern über Lizenzgebühren. Beim Generieren der Threema-ID während der Einrichtung der Threema-App erfolgt eine automatische Lizenzprüfung, um die Berechtigung des Nutzers zur Nutzung der Threema-App zu überprüfen.
Bei der Lizenzprüfung wird eine pseudonymisierte digitale Kaufquittung des App-Stores (Apple/Google/Huawei), in welchem der Nutzer die Threema-App erworben hat, an die Threema-Server übermittelt und geprüft. Eine einwegverschlüsselte Version dieser Quittung wird als Hashwert zusammen mit einem Zähler gespeichert, und die Kaufquittung wird anschliessend sofort gelöscht.
Hinweis: Die an Threema übermittelte Kaufquittung des Nutzers ist nicht mit dessen Threema-ID verknüpft.
Im Falle der Lizenzierung über einen Lizenzschlüssel aus dem Threema-eigenen «Threema Shop» (Link zum Threema Shop) wird anstelle der Kaufquittung der Lizenzschlüssel an die Threema-Server übermittelt und geprüft. Der Lizenzschlüssel wird anschliessend zusammen mit einem Zähler auf den Threema-Servern gespeichert.
Hinweis: Der an Threema übermittelte Lizenzschlüssel des Nutzers ist nicht mit dessen Threema-ID verknüpft.
Kategorien bearbeiteter Personendaten
Wurde die Threema-App in einem App-Store erworben, werden bei der Einrichtung der Threema-App folgende Personendaten für die Lizenzprüfung bearbeitet:
- Digitale Kaufquittung (pseudonymisiert und anschliessend einwegverschlüsselt).
Wurde die Threema-App über den Threema Shop erworben, werden bei der Einrichtung der Threema-App folgende Personendaten für die Lizenzprüfung bearbeitet:
- Lizenzschlüssel.
Zweck
Die vorgenannten Daten werden zu den folgenden Zwecken von Threema bearbeitet:
- Überprüfung der Berechtigung eines Nutzers zur Nutzung der Threema-App und dadurch Bekämpfung von Missbrauch und Raubkopien (Vertragserfüllung).
Rechtsgrundlage
Diese Datenbearbeitung erfolgt auf Grundlage überwiegender privater Interessen (Vertragserfüllung) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].
Notwendigkeit
Diese Datenbearbeitung ist notwendig, um die Nutzungsberechtigung des Nutzers zur Threema-App zu überprüfen und dadurch Missbrauch und Raubkopien zu bekämpfen.
Speicherdauer
Sowohl der einwegverschlüsselte Hashwert der pseudonymisierten digitalen Kaufquittung als auch der Lizenzschlüssel werden zusammen mit einem Zähler für 30 Tage auf den Threema-Servern gespeichert und anschliessend automatisch gelöscht.
H. Absturzberichte
Bearbeitungstätigkeit
Um die Stabilität und Zuverlässigkeit der Threema-App verbessern sowie die Threema-App weiterentwickeln zu können, ist Threema auf Absturzberichte von Nutzern angewiesen.
Welche Daten bei der Auswertung von Absturzberichten der Threema-App durch Threema bearbeitet und wie diese Daten durch Threema beschafft werden, hängt vom Betriebssystem des Mobilgeräts (Android oder iOS) eines Nutzers ab.
Hinweis: Als betriebssystemunabhängige Alternative können Nutzer der Threema-App Absturzberichte freiwillig innerhalb der Threema-App an die Threema-ID «*SUPPORT» übermitteln. Zur Übermittlung von Absturzberichten via Threema-App muss das Fehlerprotokoll (nachfolgend «Debug Log») in der Threema-App aktiviert sein. Das Debug Log wird nie automatisch an Threema übermittelt, sondern nur manuell durch den Nutzer.
Kategorien bearbeiteter Personendaten
iOS: Bei der Auswertung von Absturzberichten von Nutzern mit iOS-Betriebssystem werden keine Personendaten durch Threema bearbeitet.
Android: Bei der Auswertung von Absturzberichten von Nutzern mit Android-Betriebssystem werden keine Personendaten durch Threema bearbeitet.
Debug Log der Threema-App: Folgende Personendaten werden bei der Auswertung von Debug Logs der Threema-App bearbeitet:
- Logdateien.
Zweck
Die vorgenannten Daten werden zu den folgenden Zwecken von Threema bearbeitet:
- Fehlerbehebung und Produktverbesserung.
Rechtsgrundlage
Die Bearbeitung von Debug Logs erfolgt auf Grundlage überwiegender privater Interessen (Fehlerbehebung und Verbesserung des Produkts) von Threema; Art. 31 Abs. 2 lit. a DSG [für EU/EWR: Art. 6 Abs. 1 lit. b DSGVO].
Notwendigkeit
Diese Datenbearbeitung ist notwendig, um Fehler der Threema-App zu beheben sowie die Threema-App weiter verbessern zu können.
Speicherdauer
Die Daten aus Debug Logs der Threema-App werden von Threema bis zu ihrer Auswertung auf den Threema-Servern gespeichert und anschliessend anonymisiert oder gelöscht.
3. Bekanntgabe von Daten an Dritte
Personendaten, welche bei der Nutzung der Threema-App durch den Nutzer übermittelt und auf den Threema-Servern bearbeitet und gespeichert werden, gibt Threema grundsätzlich nicht an Dritte bekannt.
Verifikation der Telefonnummer mithilfe von F24 oder Swissphone
In Zusammenhang mit der Verifikation von Telefonnummern findet eine Bearbeitung von Personendaten von Nutzern, namentlich ihrer Telefonnummern, durch F24 oder Swissphone in der Schweiz statt (siehe Ziff. 2.A.).
Verifikation der Telefonnummer mithilfe von Twilio (nur für Nutzer ausserhalb der Schweiz und EU/EWR)
In Zusammenhang mit der Verifikation von Telefonnummern von Nutzern ausserhalb der Schweiz sowie EU/EWR findet eine Bearbeitung von Personendaten, namentlich ihrer Telefonnummern, durch Twilio in den USA statt (siehe Ziff. 2.A.).
Gruppenanrufe über SFU von Leaseweb
In Zusammenhang mit Gruppenanrufen findet möglicherweise eine Bearbeitung von Personendaten von Nutzern, namentlich ihrer IP-Adressen, durch Leaseweb in den Niederlanden statt (siehe Ziff. 2.F.).
Threema behält sich das Recht vor, Personendaten an Dritte (z.B. Rechtsanwälte) bekanntzugeben, wenn dies zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen durch Threema erforderlich ist.
4. Beschaffung von Daten bei Dritten
Personendaten, welche bei der Nutzung der Threema-App durch den Nutzer übermittelt und auf den Threema-Servern bearbeitet und gespeichert werden, beschafft Threema grundsätzlich direkt beim Nutzer.
5. Datensicherheit
Threema ergreift zusätzlich zur Anwendung modernster Verschlüsselungsverfahren sämtliche notwendigen technischen und organisatorischen Massnahmen, um den unbefugten Zugriff auf und den Missbrauch von Daten der Nutzer der Threema-App zu verhindern. Die Sicherheitsmassnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.
6. Kontrollmöglichkeiten des Nutzers
Zusätzlich zu den gesetzlichen Ansprüchen des Datenschutzrechts (siehe Ziff. 7) gewährt Threema den Nutzern nachfolgende Kontrollmöglichkeiten über ihre Personendaten:
Berichtigen, Vervollständigen und Löschen von Telefonnummern und E-Mail-Adressen
Der Nutzer kann seine Telefonnummer und/oder E-Mail-Adresse jederzeit in der Threema-App unter «Mein Profil» berichtigen oder vervollständigen.
Der Nutzer kann die Verknüpfung seiner Telefonnummer und/oder E-Mail-Adresse mit seiner Threema-ID jederzeit aufheben, indem er die entsprechenden Daten in der Threema-App unter «Mein Profil» löscht.
Alternativ kann der Nutzer die Verknüpfungen auch auf der Website von Threema aufheben: Link
Die entsprechenden einwegverschlüsselten Hashwerte der Telefonnummer und/oder der E-Mail-Adresse des Nutzers werden daraufhin sofort von den Threema-Servern gelöscht.
Löschen von Pushtoken
Der Nutzer kann die aktuell mit seiner Threema-ID verknüpften Pushtoken jederzeit löschen, indem er die Pushtoken in der Threema-App unter «Über Threema > Fehlerbehebung» zurücksetzt.
Threema Push statt Google-Pushtoken
Nutzer können alternativ zum Google-Pushtoken den Threema-eigenen Push-Dienst «Threema Push» nutzen. Näheres über Threema Push erfahren Nutzer im entsprechenden FAQ-Eintrag auf der Website von Threema.
Auskunft über Bestandsdaten
Nutzer können durch Senden der Nachricht «info» an die Threema-ID «*MY3DATA» jederzeit Auskunft über die bei Threema gespeicherten und mit der Threema-ID des Nutzers verknüpften Bestandsdaten, einschliesslich Personendaten, verlangen. Näheres erfahren Nutzer im entsprechenden FAQ-Eintrag auf der Website von Threema.
Löschen aller Bestandsdaten per Widerruf
Der Nutzer kann seine Threema-ID und alle damit verknüpften Informationen, einschliesslich Personendaten, jederzeit sofort löschen. Dazu muss der Nutzer seine Threema-ID über den folgenden Link auf der Website von Threema widerrufen: Link
Das Widerrufen der Threema-ID ist endgültig, und es muss vorgängig ein Widerrufspasswort in der Threema-App festgelegt werden.
7. Rechte des Nutzers
Nutzer der Threema-App können als betroffene Person verschiedene datenschutzrechtliche Ansprüche gegenüber Threema geltend machen.
Zur Erfüllung dieser Ansprüche muss Threema allenfalls Personendaten von betroffenen Personen bearbeiten. Insbesondere muss Threema in der Lage sein, die betroffene Person zu identifizieren, um sicherzustellen, dass die Betroffenenrechte von keiner anderen als der betroffenen Person ausgeübt werden und keine Personendaten widerrechtlich an Dritte bekanntgegeben werden.
In Zusammenhang mit der Bearbeitung von Personendaten durch die Nutzung der Threema-App ist eine eindeutige Identifizierung der betroffenen Person ausschliesslich über einen algorithmischen Nachweis des Besitzes des mit der Threema-ID verbundenen privaten Schlüssels über eine sogenannte Schlüsselableitung möglich. Dies ist bei automatisierten Bestandsdatenauskünften für Nutzer der Threema-App über die Threema-ID «*MY3DATA» (siehe Ziff. 6) gewährleistet.
Abhängig vom anwendbaren Recht können betroffene Personen folgende Rechte in Zusammenhang mit Personendaten gegenüber Threema geltend machen:
Recht auf Auskunft
Art. 25 und 26 DSG [für EU/EWR: Art. 15 DSGVO]
Eine betroffene Person hat das Recht, Auskunft über ihre von Threema bearbeiteten Personendaten zu verlangen.
Recht auf Berichtigung oder Vervollständigung
Art. 32 Abs. 1 DSG [für EU/EWR: Art. 16 DSGVO]
Eine betroffene Person hat das Recht, von Threema unverzüglich die Berichtigung unrichtiger oder die Vervollständigung unvollständiger Personendaten zu verlangen.
Recht auf Löschung
Art. 32 Abs. 2 DSG [für EU/EWR: Art. 17 DSGVO]
Eine betroffene Person hat das Recht, von Threema innert nützlicher Frist die Löschung ihrer Personendaten zu verlangen.
Recht auf Widerruf
nur bei Datenbearbeitung auf Grundlage von Einwilligung; Art. 30 Abs. 2 DSG [für EU/EWR: Art. 7 Abs. 3 DSGVO]
Eine betroffene Person hat das Recht, ihre Einwilligung in die Bearbeitung ihrer Personendaten durch Threema zu widerrufen. Dies hat zur Folge, dass Threema die Datenbearbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen darf. Die bis zu diesem Zeitpunkt aufgrund Einwilligung des Nutzers erfolgte Bearbeitung seiner Personendaten durch Threema bleibt rechtmässig.
Recht auf Widerspruch
nur bei Datenbearbeitung auf Grundlage von überwiegenden Interessen; Art. 30 Abs. 2 DSG [für EU/EWR: Art. 21 DSGVO]
Eine betroffene Person hat das Recht, Widerspruch gegen die Bearbeitung ihrer Personendaten durch Threema einzulegen, sofern die entsprechenden Personendaten auf Grundlage von überwiegenden privaten Interessen von Threema bearbeitet werden; Art. 31 DSG [für EU/EWR: Art. 6 Abs. 1 lit. f DSGVO].
Recht auf Sperrung
Art. 32 DSG [für EU/EWR: Art. 18 DSGVO]
Eine betroffene Person hat das Recht, zum Schutz ihrer Persönlichkeit die Sperrung der Bearbeitung ihrer Personendaten durch Threema zu verlangen.
Recht auf Datenübertragung
Art. 28 und 29 DSG [für EU/EWR: Art. 20 DSGVO] [nur bei Datenbearbeitung auf Grundlage von Einwilligung oder Vertrag und mithilfe automatisierter Verfahren;]
Eine betroffene Person hat das Recht, ihre Personendaten, welche sie Threema bereitgestellt hat, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten, sofern:
- die Bearbeitung auf einer Einwilligung oder auf einem Vertrag beruht; und
- die Bearbeitung mithilfe automatisierter Verfahren erfolgt.
8. Aktualität und Änderung der Datenschutzerklärung
Threema behält sich vor, diese Datenschutzerklärung gelegentlich anzupassen, um geänderten rechtlichen Anforderungen gerecht zu werden oder neue Funktionalitäten in der Datenschutzerklärung umzusetzen. Die aktuelle Datenschutzerklärung ist stets in der Threema-App verlinkt.