Datenschutzerklärung (nach Artikel 13 Datenschutz-Grundverordnung)

Der Schutz Ihrer persönlichen Daten ist uns ein besonderes Anliegen. In dieser Datenschutz­erklärung informieren wir Sie über die Datenverarbeitung im Rahmen des Fake-Shop Detectors.

Was ist der Fake-Shop Detector?

Der Fake-Shop Detector ist ein Browser-Plugin, also ein kleines Zusatzprogramm für Ihren Internetbrowser, das Sie vor der erstmaligen Verwendung herunterladen und installieren müssen. Der Fake-Shop Detector schützt Sie vor Fake-Shops und anderen betrügerischen Online-Angeboten.

Er überprüft jede abgerufene Website in zwei Schritten: Als erstes wird eine von ExpertInnen kuratierte Datenbank zu seriösen und betrügerischen Onlineshops durchsucht. Ist eine Website unbekannt, kommt es im zweiten Schritt zu einer Echtzeitanalyse durch Künstliche Intelligenz (KI) am Server der Fake-Shop Datenbank, welche die Webseite abruft, anhand bekannter Betrugsmuster analysiert und das Ergebnis dem Fake-Shop Detector zurückmeldet. Genaueres über die Funktionsweise des Fake-Shop Detectors können Sie unter Alles über den Fake-Shop Detector nachlesen.

Welche (personenbezogenen) Daten sammelt der Fake-Shop Detector?

Da uns Datenschutz ein wichtiges Anliegen ist: „Grundsätzlich“ verarbeitet der Fake-Shop Detector keine personenbezogenen Daten! Warum nur „grundsätzlich“? Das kommt etwas auf den Betriebsmodus des Fake-Shop Detectors an und ob Sie darüber hinaus mit uns Kontakt aufnehmen:

Anzeige für bekannte Websites: Alle Einschätzungen zu bereits bekannten und kuratierten Websites werden über den Speicher des Plugins generiert. Der Plugin-Cache wird beim Neustart des Browsers, sowie alle 24 Stunden, aktualisiert. Der Fake-Shop Detector verwendet hierbei keinerlei Informationen über die UserIn. Lediglich die IP-Adresse Ihres Gerätes, sowie der Zeitpunkt des Abrufs wird bei der Datenübertragung zur Aktualisierung des Plugin-Cache aufgrund des berechtigten Interesses in Server-Log-Files verarbeitet (siehe unten).

Automatische Klassifizierung für unbekannte Websites: Die automatische Klassifizierung für unbekannte Websites kann in den Einstellungen aktiviert werden. Wird eine dem Modell unbekannte Website zum ersten Mal aufgerufen, wird die Webadresse dieser Seite an die Fake-Shop Detector Datenbank übertragen, sodann von der KI zentral ausgewertet und danach von ExpertInnen überprüft. Auch hierfür werden nur Ihre IP-Adresse und die aufgerufene Website in den Server-Logfiles (siehe unten) verarbeitet. Durch das Aktivieren der entsprechenden Einstellung im Fake-Shop Detector erteilen Sie Ihre Einwilligung, dass die von Ihnen aufgerufenen Websites zur Überprüfung an die KI übermittelt werden. Wenn Sie die entsprechende Einstellung nicht aktivieren, können Sie den Fake-Shop Detector weiterhin nutzen, tragen aber nicht zu dessen Verbesserung bei und sind nicht vor neuen und bislang unbekannten Bedrohungen geschützt.

Fehlermeldungen: Zur Nachverfolgung von Fehlern und zur Entwicklung des Fake-Shop Detectors wird eine anonyme UUID generiert, welche Sie uns bei Kontaktaufnahme bzw. zur Meldung von Problemen mit dem Fake-Shop Detector senden können. Wir können keine Verbindung zwischen dieser UUID und Ihnen herstellen, außer Sie teilen uns die UUID und persönliche Daten im Rahmen einer Kontaktaufnahme (siehe nächster Punkt) mit.

Manuelle Kontaktaufnahme: Möchten Sie darüber hinaus manuell Shops oder Websites zur Überprüfung melden, Fehler am Plugin, falsch klassifizierte Shops oder Webites beanstanden, so haben Sie die Möglichkeit mit uns über die Websites https://www.fakeshop.at/kontakt/ und https://www.watchlist-internet.at/ Kontakt aufzunehmen. Nähere Informationen dazu entnehmen Sie bitte der Datenschutzerklärung der jeweiligen Webseite. Die Datenverarbeitung erfolgt auf der Rechtsgrundlage von Art 6 Abs 1 lit a DSGVO (Einwilligung), welche Sie jederzeit widerrufen können.

Anders gesagt: Der überwiegende Teil an Einschätzungen über das Bedrohungspotential von angesurften Webseiten wird aus dem lokalen Browser-Cache an bekannten und kuratierten Webseiten retourniert, wir sehen somit nicht, welche Webseiten unsere UserInnen besuchen und wie oft Webseiten insgesamt besucht wurden. Einzig die Analyse einer nicht kuratierten und somit uns unbekannten Webseite wird – sofern in den Einstellungen aktiviert – in das System des Fake-Shop Detectors eingeschickt, um das von der KI errechnete Bedrohungspotential abzufragen. Sobald das ermittelte Bedrohungspotential durch menschliche ExpertInnen bestätigt wurde, wird auch diese Webseite wieder aus ihrem lokalen Browser-Cache retourniert. Während Sie den Fake-Shop Detector aktiviert haben und im Internet surfen, werden keine persönlichen Informationen an uns oder Dritte weitergegeben. Sie können weiterhin anonym im Internet einkaufen.

Server-Log-Files: Sofern Sie die automatische Klassifizierung für unbekannte Webseiten nicht im Fake-Shop Detector aktiviert haben erheben wir im Rahmen dieser automatisierten Meldung von potentiellen Fake-Shop Websites personenbezogene Daten im technisch notwendigen Umfang. Ebenso passiert dies zur Aktualisierung bzw. Übertragung des Plugin-Cache. Wir verarbeiten hierzu Datum und Uhrzeit des Abrufs, die IP-Adresse des zugreifenden Geräts, Typ- und Versionskennung des aufrufenden Browsers und die stattgefundene Aktion (Abruf des Plugin-Cache, Meldung potentieller Fake-Shop) um Ihnen den Fake-Shop Detector und die dahinterliegende KI sowie Datenbanken zur Verfügung stellen und Fehler analysieren zu können. Es werden keine Versuche unternommen, diese Daten bestimmten Personen zuzuordnen. Wir schließen jede Form der Surfprofilerstellung aus. Die Daten werden auch nicht mit Daten aus anderen Datenquellen zusammengeführt oder an Dritte weitergegeben. Die Verarbeitung dieser Daten erfolgt beim Abruf des Plugin-Cache auf Grundlage unserer berechtigten Interessen (Art 6 Abs 1 lit f DSGVO) und bei der automatischen Klassifizierung für unbekannte Websites aufgrund Ihrer Einwilligung (Art 6 Abs 1 lit a DSGVO). Diese Daten und die zugrundeliegenden Server-Log-Files werden nach 14 Tagen automatisch gelöscht.
Namen und Kontaktdaten der Verantwortlichen

Der Fake-Shop Detector ist ein Ergebnis von verschiedenen Forschungsprojekten und wird im Projekt SINBAD laufend weiterentwickelt. Geleitet wird das Projekt vom Österreichischen Institut für angewandte Telekommunikation („ÖIAT“, Ungargasse 64-66/3/404, 1030 Wien, office@oiat.at, +43 1 595 21 12); es wird in Kooperation mit dem Austrian Institute of Technology („AIT“, Giefinggasse 4, 1210 Wien, office@ait.ac.at, +43 50550-0; Kontaktdaten Datenschutzbeauftragter: Giefinggasse 4, 1210 Wien, dpo@ait.ac.at; +43 50550-2003 ) und X-Net Services GmbH („X-Net“, Spittelwiese 15, 4020 Linz, office@x-net.at, +43 732 773142-0) umgesetzt. Diese sind auch gemeinsam für die Verarbeitung verantwortlich („Joint Controllers“ nach Art 26 DSGVO), da sie Ziele, Mittel und Zwecke der Datenverarbeitung im Rahmen der (Weiter-)Entwicklung des Projektes festlegen, sowie sich für die technischen und organisatorischen Maßnahmen verantwortlich zeigen.

Die Pflichten zur Führung der erforderlichen Verzeichnisse, Informationspflichten bei der Erhebung von personenbezogenen Daten (Art 13 DSGVO) und alle Maßnahmen um Ihre Rechte als Betroffener zu gewährleisten bzw. zu erfüllen werden vom Österreichischen Institut für angewandte Telekommunikation (ZVR-Zahl 922972340), erreichbar unter der Adresse Ungargasse 64-66/3/404, 1030 Wien, der Telefonnummer +43 1 595 21 12 (9h bis 17h) sowie unter der E-Mail-Adresse office@oiat.at wahrgenommen. Dieser Verein stellt Ihnen auf Nachfrage auch das Wesentliche der Vereinbarung über eine Gemeinsame Verantwortung zur Verfügung.


Rechte der betroffenen Personen

Ihnen stehen grundsätzlich die Rechte auf Auskunft (Art 15 DSGVO), Berichtigung (Art 16 DSGVO), Löschung (Art 17 DSGVO) und Einschränkung (Art 18 DSGVO) und Datenübertragbarkeit (Art 20 DSGVO) zu. Wenn Ihre Daten aufgrund Ihrer Einwilligung verarbeitet werden, können Sie diese jederzeit widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der Verarbeitung bis zum Widerrufszeitpunkt nicht berührt. Weiters haben Sie das Recht auf Widerspruch (Art 21 DSGVO).

Wenn Sie von Ihren Rechten Gebrauch machen wollen, wenden Sie sich bitte an: office@oiat.at.

Wenn Sie glauben, dass die Verarbeitung Ihrer Daten gegen das Datenschutzrecht verstößt oder Ihre datenschutzrechtlichen Ansprüche sonst in einer Weise verletzt worden sind, können Sie sich an die Aufsichtsbehörde wenden. In Österreich ist dies die Datenschutzbehörde in Wien (www.dsb.gv.at).