Datenschutzbestimmungen

Die folgenden Datenschutzbestimmungen beschreiben unsere Praktiken für die Arten von personenbezogenen Daten, die durch die Nutzung des EMPATIA-Anwendungsdienstes ("Dienst") auf der Website buergerbudget.wuppertal.de gesammelt werden. Der Dienst und die Website werden im Rahmen des EMPATIA-Projekts ("Projekt") entwickelt und verwaltet, das durch Horizon 2020, dem Rahmenprogramm für Forschung und  Innovation der Europäischen Union, unter der Finanzhilfevereinbarung Nr. 687920 finanziert wird. Der Dienst wird durch die Zebralog GmbH & Co. KG im Auftrag des EMPATIA-Konsortiums ("EMPATIA") verwaltet, das unter der Leitung des Center for Social Studies in Coimbra (Portugal) steht und sich aus folgenden Partnern zusammensetzt: OneSource (Portugal); D21 (Tschechische Republik); Brunel University London (Großbritannien); Università degli Studi di Milano (Italien); Zebralog (Deutschland); Associação In Loco (Portugal).

Diese Datenschutzbestimmungen erläutern, wie EMPATIA personenbezogene Daten verwendet, die über diesen Service erhoben werden, mit wem sie geteilt werden und wie sie verwaltet, archiviert und geschützt  werden.

1. Rollen der beteiligten Organisationen

Die Datenverwaltung für diese Website wird von den folgenden Organisationen geteilt:

  • Datenverantwortlicher und verantwortlich für die Durchsetzung der Datenschutzerklärung: Zebralog GmbH & Co. KG;
  • Datenverarbeiter und zuständig für die Verwaltung der Daten zu den in der Datenschutzerklärung festgelegten Zwecken: Zebralog GmbH & Co. KG;
  • Verantwortlich für Datenarchivierung und -pflege: OneSource (Portugal).

 2. Zweck der Datenerhebung

Die personenbezogenen Daten werden unter diesen Bestimmungen für die folgenden Zwecke gesammelt und verwaltet:

  • Sicherstellung der eindeutigen Authentifizierung der Benutzer, die zur Teilnahme an den durch diesen Dienst verwalteten demokratischen Innovationen erforderlich ist;
  • Erforschung, Überwachung und Ermöglichung unabhängiger Kontrolle der Lieferung und Ergebnisse der durch diese Plattform verwalteten demokratischen Innovationen;
  • Untersuchung und Erforschung, wie Benutzer und Besucher den Service nutzen;
  • Kommunikation mit den Benutzern hinsichtlich eventueller Aktualisierungen des Dienstes und seiner Richtlinien.
  • Bereitstellung periodischer Informationen hinsichtlich des Inhalts der Website gemäß den von jedem Benutzer konfigurierten Benachrichtigungseinstellungen;
  • Einhaltung der Gesetze der Europäischen Union und Deutschlands.

In jedem Fall wird der Datenverantwortliche nicht:

  • jegliche auf dieser Website erhobenen personenbezogenen Daten veräußern.
  • jegliche auf dieser Website erhobenen personenbezogenen Daten zur Vermarktung kommerzieller Zwecke nutzen.

3. Gesammelte Daten

Personenbezogene Daten

Die folgenden personenbezogenen Daten werden auf dieser Website gesammelt, um neue Benutzer zu registrieren:

  • Name
  • E-Mail-Adresse
  • Alter
  • Stadtteil
  • Geschlecht
  • Bildungsstand

Umfragedaten

EMPATIA kann Fragebögen und Umfragen für die Nutzer dieses Dienstes vorschlagen bezüglich:

  • den Erfahrungen mit dem Service
  • anderen Themen im Zusammenhang mit den demokratischen Innovationen, die über den Dienst verwaltet werden

Die Beantwortung der Umfragen und Fragebögen ist freiwillig und kann von den Nutzern abgelehnt werden.

Die durch Umfragen und Fragebögen gesammelte Daten werden als zusätzliche personenbezogene Daten verwaltet, wobei dieselben Sicherheits- und Datenschutzmaßnahmen eingehalten werden, die in dieser Bestimmungen beschrieben sind.

Nicht-personenbezogene Daten

Der Dienst sammelt auch nicht-personenbezogene Informationen der Art, die Webbrowser und Server typischerweise zur Verfügung stellen, z. B. den Browsertyp, die Spracheinstellung, die verweisende Site sowie das Datum und die Uhrzeit der Besucheranfragen.

Potenziell personenbezogenen Daten

Der Service sammelt potenziell personenbezogenen Daten wie Internetprotokoll-Adressen (IP-Adressen). EMPATIA verwendet diese Informationen nicht, um seine Besucher zu identifizieren, und gibt diese Informationen nicht heraus, wobei dieselben Sicherheits- und Datenschutzmaßnahmen eingehalten werden, die in dieser Bestimmungen beschrieben sind.

User Generated Content and Personally Identifiable Information

Der Service kann Diskussionen, Kommentare, Vorschläge und andere Inhalte, die von Nutzern während der Nutzung der Plattform generiert werden, hosten.

Dieser von Nutzern generierte Inhalt kann den Nutzer auch für Dritte und in einigen Fällen für die allgemeine Öffentlichkeit persönlich identifizierbar machen. Die Nutzer dürfen keine personenbezogenen Daten über die auf dieser Website veröffentlichten Inhalte zur Verfügung stellen.


Jeder Benutzer kann die Datenschutzbestimmungen in Bezug auf seine veröffentlichten Inhalte und seine Sichtbarkeit im Internet konfigurieren und ein Pseudonym sowie eine anonyme E-Mail-Adresse verwenden. Für weitere Informationen über den vom Benutzer erstellten Inhalt wenden Sie sich bitte an die Nutzungsbedingungen (Link).


4. Datensicherheit und -integrität

EMPATIA ergreift alle notwendigen Schritte, um personenbezogene Daten und Inhalte der Nutzer vor Verlust, Missbrauch und unbefugtem Zugriff, Offenlegung, Veränderung und Zerstörung zu schützen.

Physische Datensicherheit

Das Rechenzentrum, in dem die Daten archiviert und aufbewahrt werden, hat strenge Sicherheitsrichtlinien hinsichtlich des physischen Zugriffs. Der Zugriff auf das Rechenzentrum ist auf den CTO sowie den CISO beschränkt und der Zugriff wird auf zwei Sicherheitsebenen verwaltet: physische Schlüssel und Alarmanlage. Der gesamte Zugriff wird in der Alarmanlage gespeichert und in den internen Prozeduren von OneSource dokumentiert.

Die Infrastruktur für die Datenarchivierung wird von redundanten Servern und professionellen Lagersystemen mit aktiven Mechanismen der Redundanz und des Schutzes auf der physischen Ebene für die Stromversorgung (USV-Systeme) unterstützt. Zur Speicherung werden Fibre Channel SAN mit RAID und mehrere Servern verwendet. Das Backup-System umfasst automatisierte Verfahren, um den Datenschutz auf zwei Ebenen zu gewährleisten: In-Datacenter-Backups und externe Datencenter-Backups. Die In-Datacenter-Backups beinhalten tägliche Kopien, die für zwei Jahre gespeichert werden. Die externen Datacenter-Backups werden wöchentlich durchgeführt und für bis zu zwei Jahre gespeichert. Alle Sicherungsebenen verwenden Verschlüsselungstechnologien und der gesamte Zugriff auf die Backups wird im SIEM von OneSource gesteuert. Warnungen der Stufe 1 (d.h. mit hohem Schweregrad) werden durch den SIEM an den CISO zur Einschätzung der Sicherheitsrisiken weitergegeben.

 Logische Datensicherheit

Die Plattform implementiert Sicherheitsmechanismen, um die Daten zu schützen und den Zugriff auf die Daten zu verwalten. Da die Plattform aus mehreren und unabhängigen Komponenten besteht, werden diese auf verschiedene Servern verteilt. Alle Daten, insbesondere personenbezogene Daten, werden durch spezifische Komponenten geschützt, die den Zugriff auf die Daten und andere Komponenten nur mit gültigen JWT-Token ermöglichen (generiert durch gültige Authentifizierungsmechanismen). Alle Token haben strenge Richtlinien hinsichtliches ihres Verfalls (d.h. nach 10 Minuten), und es sind neue Logins erforderlich, um gültige Token bereitzustellen. Wie gesagt, alle Transaktionen, die Zugriff auf Daten erfordern, benötigen gültige Token.

Wie beschrieben benötigen alle Transaktionen, die Zugriff auf Daten erfordern, gültige Token. Daher kann kein Zugriff auf Daten ohne gültige Login- und Zugriffsberechtigungen durchgeführt werden, welche der Rolle des Benutzers entsprechend festgelegt werden (z.B. als Manager einer Entität oder einfach als Benutzer, der am PB-Prozess teilnimmt).

Alle Zugriffe werden im SIEM von OneSource analysiert, wobei Vorfälle der Stufe 1 (d.h. mit hohem Schweregrad) an den CISO delegiert werden, während Vorfälle der Stufe 2 (d.h. mit mittlerem Schweregrad) und Stufe 3 (d.h. mit geringem Schweregrad) von den Netzwerkadministratoren und Systembetreibern von OneSource verwaltet werden.

5. Aufbewahrung personenbezogener Daten

Personenbezogene Daten, die zu irgendeinem Zweck verarbeitet werden, dürfen nicht länger aufbewahrt werden als für den jeweiligen Zweck erforderlich, und in keinem Fall länger als ein Jahr nach dem letzten Zugang zum Service durch den Nutzer.

6. Verfahren zum Zugriff auf personenbezogene Daten

Jeder Nutzer ist berechtigt, auf alle seine personenbezogenen Daten und Informationen zuzugreifen, die über diesen Service erhoben wurden, und zu wissen, wie diese Informationen verarbeitet werden. Wenn Sie wissen möchten, welche personenbezogenen Daten und weitere Daten erhoben werden, schreiben Sie bitte an datenschutz [at] zebralog.de

7. Verfahren zum Rücktritt

Jeder Nutzer ist berechtigt, den Service zu kündigen und die Beseitigung aller personenbezogenen Daten und Informationen zu verlangen, die durch diesen Service erhoben werden. Wenn Sie den Service kündigen möchten, schreiben Sie bitte an datenschutz (at) zebralog.de

Open Access

EMPATIA verfolgt die Grundsätze von Open Access, wie sie durch Horizon 2020, dem Rahmenprogramm für Forschung und  Innovation der Europäischen Union, definiert sind: Das Wissen, das durch EMPATIA gesammelt und generiert wird, soll öffentlich und in einem offenen Format für alle nicht kommerziellen Zwecke freigegeben werden, darunter insbesondere für die Forschung und für die unabhängige Überwachung und Bewertung. Konkret sollen Daten, die durch die Nutzung der Plattform von EMPATIA erhoben und generiert werden, in einem öffentlichen Datenbestand freigegeben und Maßnahmen ergriffen werden, um Dritten den Zugang, die Verwendung, die Vervielfältigung und die Verbreitung zu einem nicht kommerziellen Zweck zu ermöglichen, kostenfrei für jeden Nutzer. In jedem Fall wird EMPATIA nur nicht-personenbezogene Informationen freigeben, wobei Informationen in einer Weise gebündelt und zusammengefasst werden, die es nicht ermöglicht, personenbezogene Daten zu identifizieren.

Dritte mit Zugang zu personenbezogenen Daten

Um die Funktionalität von EMPATIA und ein hohe Leistung des Service anzubieten, kann EMPATIA Benutzerdaten mit Dritten teilen. Dies betrifft insbesondere Mitarbeiter/innen der Stadt Wuppertal, die das Redaktionsteam auf der Plattform bilden. Mehr Details über Dienstleistungen von Dritten siehe Nutzungsbedingungen (Link).

Verantwortliche Stelle für die Genehmigung der Datenschutzrichtlinien

Diese Bestimmungen wurden vom Centre for Social Studies in Coimbra, dem Ethikkoordinator von EMPATIA, entwickelt und vom Konsortium genehmigt. Das Konsortium kann diese Bestimmungen künftig im Rahmen der in unseren Nutzungsbedingungen festgelegten ethischen Grundsätze ändern. Jede geänderte Bestimmung ist wirksam mit Veröffentlichung auf dieser Website, und das Konsortium wird alle möglichen Anstrengungen unternehmen, um Sie über diese Änderungen per E-Mail oder über die Website zu informieren.

8. Version und Inbetriebnahme der Datenschutzbestimmungen

Die aktuelle Version der Datenschutzbestimmungen ist die 1.0.

Sie gilt seit dem 01.01.2017, bis eine neue Version freigegeben wird.

9. Rechtlicher Rahmen der Datenschutzbestimmungen

Der Regulierungsrahmen für den Datenschutz und das Management wird durch die folgenden Normen und Vorschriften der Europäischen Union und die Gesetze von Deutschland geprägt, in denen der Dienst eingerichtet ist:

Es gelten die Datenschutzbestimmungen des Landes NRW und der europäischen Union.

10. Kontakt

Vielen Dank, dass Sie sich die Zeit genommen haben, sich über die Datenschutzbestimmungen von EMPATIA zu informieren. EMPATIA ist der Ansicht, dass es für unsere Nutzer wichtig ist, genau zu wissen, wie ihre persönlichen Daten behandelt werden. Wenn Sie Fragen oder Bedenken haben, die in dieser Richtlinie nicht beantwortet wurden, wenden Sie sich bitte an den für diesen Service zuständigen Datenverarbeitenden unter folgender Adresse:

Zebralog GmbH & Co. KG, datenschutz@zebralog.de