1. Über diese Richtlinie

1.1 Diese Datenschutzrichtlinie (die "Richtlinie") beschreibt, wie wir (wie unten definiert) Informationen sammeln, teilen und nutzen, die, allein oder in Kombination mit anderen Informationen, sich auf Sie ("personenbezogene Daten") beziehen, wenn Sie ("Sie" und "Ihr") die Tricount-Website ("Website") oder Tricount-Anwendungen ("Anwendung/Anwendungen") nutzen.

1.2 Diese Richtlinie legt auch die Rechte dar, die Sie in Bezug auf die von uns verarbeiteten personenbezogenen Daten haben, sowie die Art und Weise, wie Sie diese ausüben können.

1.3.1 Der Verantwortliche für die Verarbeitung Ihrer personenbezogenen Daten ist bunq B.V. (“bunq”), eingetragen bei der niederländischen Handelskammer mit der Registrierungsnummer 54992060.1.3.2 bunq B.V. ("bunq") besitzt, entwickelt und betreibt die Tricount-Anwendung und -Website. bunq hat seinen Firmensitz in Naritaweg 131-133, 1043 Bs Amsterdam (Niederlande) und ist bei der Kamer van Koophandel (KvK) unter der Nummer 54992060 registriert, dessen USt-Identifikationsnummer NL851519945B01 ist.

1.4 Für die Zwecke dieser Richtlinie ist bunq (“wir”, “uns”, “unser”) der Verantwortliche für Ihre personenbezogenen Daten als Eigentümer von Tricount.

1.5 Diese Richtlinie beschreibt die hohen Standards, die wir anwenden, um Ihre persönlichen Informationen mit größter Sorgfalt zu schützen. Der Respekt Ihrer Privatsphäre ist einer unserer Kernwerte. Um dies zu erreichen, haben wir ein Team zur Datenschutzschutz eingerichtet, einschließlich eines Datenschutzbeauftragten, der bei der "Autoriteit Persoonsgegevens" (der niederländischen Datenschutzbehörde) registriert ist, eines Sicherheitsteams und eines Rechtsteams.

1.6 In unserer Funktion als Datenverantwortliche sind wir dafür verantwortlich, sicherzustellen, dass die Verarbeitung personenbezogener Daten den geltenden Datenschutzgesetzen entspricht, insbesondere der Allgemeinen Datenschutzverordnung. Bitte nehmen Sie sich die Zeit, diese Richtlinie sorgfältig zu lesen. Bei Fragen oder Kommentaren wenden Sie sich bitte per E-Mail an das Tricount-Privacy-Team unter privacy@tricount.com oder per Post an Naritaweg 131-133, 1043 Bs Amsterdam (Niederlande).

2. Welche personenbezogenen Daten werden gesammelt und warum?

2.1 Die Art der personenbezogenen Daten, die wir sammeln, und die Gründe, aus denen wir sie verarbeiten, umfassen:

| Why do we collect it?                                                                                                                                  | Type of Personal Data                                                                                     | Legal basis                                                                                 |
|---------------------------------------------------------------------------------------------------------------------------------------------------------|-----------------------------------------------------------------------------------------------------------|--------------------------------------------------------------------------------------------|
| Managing people with a user account (storing personal data, making data available to mobile applications via APIs, triggering APIs from third-party partners required for given functionalities (e.g. connection to social networks, initiating payments, etc.)). | Financial characteristics, identification data, electronic identification data                           | Contractual necessity                                                                      |
| Update and validation of the user's personal data                                                                                                      | Financial characteristics, identification data, electronic identification data                           | Contractual necessity                                                                      |
| Processing user requests through an email address (client support by email)                                                                            | Identification data, electronic identification data                                                       | Consent of the data subject                                                                |
| Display of advertising and associated services (monitoring, fraud detection, etc.)                                                                     | Identification data, electronic identification data                                                       | Legitimate interest of the data controller or a third party                               |
| Display of personalised advertising and associated services (collection of consent, monitoring, fraud detection, etc.)                                 | Identification data, electronic identification data, location data, Internet connection tracking and usage data | Consent of the data subject                                                                |
| Integration with partner financial services                                                                                                            | Financial characteristics, identification data, electronic identification data                           | Contractual necessity                                                                      |
| Creation of a tricount, addition of expenses and comments accessible to certain users, calculation of the balance of accounts, export of accounts, ability to analyse the budget and expenses of the group | Financial characteristics, identification data, lifestyle data, leisure activities and interests          | Contractual necessity                                                                      |
| Sending creation and invitation emails to tricounts                                                                                                    | Identification data                                                                                       | Legitimate interest of the data controller or a third party                               |
| Sending "Push" notifications                                                                                                                           | Identification data                                                                                       | Consent of the data subject                                                                |
| Sending emails promoting Tricount and bunq services and offers                                                                                         | Identification data                                                                                       | Legitimate interest of the controller or a third party                                    |
| Statistical analysis of use, growth, etc.                                                                                                              | Electronic identification data, location data, tracking and use data of the Internet connection           | Legitimate interest of the data controller, or consent of the data subject when these analyses are based on the placement of analytical Cookies. |
| Add card payments (and other payments) from bunq as expenses in a tricount                                                                             | Financial characteristics, identification data, electronic identification data                           | Consent of the data subject                                                                |
| Add cards from your bunq app to perform payments within Tricount                                                                                       | Card holder's name, Card number (encrypted with phone face ID scan), expiration date and CVC number       | Consent of the data subject                                                                |
| Recording of actions carried out by users in order to understand the use of the application and to solve any problems.                                 | Electronic identification data, location data, tracking and use data of the Internet connection           | Legitimate interest of the data controller or a third party                               |
| Collection of consent for the display of personalized advertising (including retention of documentation relating to this consent)                       | Identification data, electronic identification data                                                       | Legal obligation                                                                           |
| Identify users and the services they have subscribed to in order to identify sales and marketing opportunities                                         | Identification data, electronic identification data                                                       | Legitimate interest of the controller or a third party                                    |
| Pictures uploaded by users to their Tricounts by user’s initiative                                                                                     | (Potentially) pictures containing the user’s appearance                                                   | Legitimate Interest

2.2 Möglicherweise erfassen wir automatisch auch bestimmte Informationen von Ihrem Gerät. Genauer gesagt, die Informationen, die wir automatisch sammeln, können Informationen zu Ihrer IP-Adresse, Gerätenummer, eindeutigen Identifikationsnummern, Browsertyp, breiter geografischer Lage (z. B. landesweit oder stadtweit), Werbe-Identifikator und andere technische Informationen umfassen. Wir können auch Informationen darüber sammeln, wie Ihr Gerät mit unserer Anwendung interagiert hat (z. B. angezeigte Bildschirme oder Klicks auf die Anwendung oder auf der Website). Die Sammlung dieser Informationen ermöglicht es uns, die Nutzung der Anwendung zu verfolgen und etwaige Fehler zu identifizieren/ zu korrigieren. Wenn diese Informationen mit anderen Quellen abgeglichen werden, ermöglicht uns die Sammlung auch zu verstehen, wer die Nutzer sind (wo sie sich befinden, ihr Alter, Geschlecht, Sprache usw.) und somit zu bestimmen, wie die Anwendung und Werbeinhalte entwickelt werden können, die für sie von Interesse sein könnten.

Wir verwenden diese Informationen für interne Analysezwecke sowie zur Verbesserung der Qualität und Relevanz unserer Anwendung für unsere Besucher. Ein Teil dieser Informationen kann mithilfe von Cookies und ähnlichen Tracking-Technologien gesammelt werden, wie in unserer Cookie-Richtlinie erläutert, die hier verfügbar ist.

Version 8 des Tricount wird keine allgemeinen oder personalisierten Werbeinhalte enthalten und in dieser Version der App werden keine personenbezogenen Daten zu diesen Zwecken gesammelt.

2.3 Gelegentlich erhalten wir personenbezogene Daten über Sie von Drittquellen (einschließlich integrierter Dienste zur Rückerstattungsverarbeitung), aber nur, wenn wir überprüft haben, dass diese Dritten Ihre Zustimmung haben oder gesetzlich befugt oder verpflichtet sind, Ihre persönlichen Informationen an uns weiterzugeben. Die Art der personenbezogenen Daten, die wir von Drittparteien erfassen, umfasst Zahlungsbestätigungen und wir verwenden die persönlichen Informationen, die wir von diesen Dritten erhalten, um sicherzustellen, dass die Informationen, die wir über Sie haben, genau sind.

2.4 Grundsätzlich werden wir die von Ihnen erhobenen personenbezogenen Daten nur für die in dieser Richtlinie beschriebenen Zwecke verwenden oder für die Zwecke, die wir Ihnen zum Zeitpunkt der Erhebung der personenbezogenen Daten erläutern. Wir dürfen Ihre personenbezogenen Daten jedoch auch für andere Zwecke verwenden, die nicht unvereinbar mit den Ihnen mitgeteilten Zwecken sind (z. B. Verarbeitung für Archivierungszwecke im öffentlichen Interesse, wissenschaftliche oder historische Forschungszwecke oder statistische Zwecke), sofern sie nach geltendem Datenschutzrecht zulässig sind.

3. Mit wem teilen wir Ihre personenbezogenen Daten?

3.1 Wir können Ihre personenbezogenen Daten an die folgenden Kategorien von Empfängern übermitteln:

• an unsere Unternehmensgruppe für Zwecke im Einklang mit diesem Hinweis. Wir treffen Vorsichtsmaßnahmen, um den Zugang zu personenbezogenen Daten nur denjenigen Mitarbeitern zu erlauben, die ein legitimes geschäftliches Bedürfnis nach Zugang haben, und mit einem vertraglichen Verbot, die personenbezogenen Daten für andere Zwecke zu verwenden.

• an unsere Drittanbieter, Dienstleister und Partner, die uns einen Datenverarbeitungsdienst anbieten oder personenbezogene Daten für die in dieser Richtlinie beschriebenen Zwecke verarbeiten oder die Ihnen bei der Erfassung Ihrer personenbezogenen Daten mitgeteilt werden. Dies kann die Kommunikation an Drittanbieter und andere Dienstleister umfassen, die wir im Zusammenhang mit den Dienstleistungen, die sie uns bereitstellen, verwenden, um uns in Bereichen wie IT-Plattform-Management oder Support-Dienstleistungen, Infrastruktur- oder Anwendungsdienstleistungen, Marketing und Datenanalyse zu unterstützen.

• an jede relevante Strafverfolgungsbehörde, Regulierungsbehörde, Regierungsbehörde, Gericht oder andere Drittpartei, wenn wir glauben, dass die Offenlegung erforderlich ist (i) nach geltendem Recht oder Vorschriften, (ii) um unsere Rechte zu begründen oder zu verteidigen oder (iii) um Ihre vitalen Interessen oder die einer anderen Person zu schützen.

• an unsere Prüfer, Berater, Rechtsvertreter und ähnliche Beauftragte im Zusammenhang mit den Beratungsdiensten, die sie uns für legitime geschäftliche Zwecke bereitstellen, und vorbehaltlich eines vertraglichen Verbots, die personenbezogenen Daten für andere Zwecke zu verwenden.

• an einen potenziellen Käufer/Investor/Kreditgeber (und dessen Vertreter und Berater) im Zusammenhang mit einer geplanten Kapitalbeschaffung, einem Kauf, einer Fusion oder Übernahme eines Teils unseres Geschäfts, vorausgesetzt, wir informieren den Käufer, dass er Ihre personenbezogenen Daten nur für die in dieser Richtlinie beschriebenen Zwecke verwenden darf.

• an jede andere Person, solange Sie Ihrer vorherigen Zustimmung zur Offenlegung zugestimmt haben.

4. Wie wir Ihre Privatsphäre schützen

4.1 In Übereinstimmung mit dieser Richtlinie werden wir personenbezogene Daten wie folgt verarbeiten:

• Treue: Wir werden personenbezogene Daten fair verarbeiten. Das bedeutet, dass wir transparent darüber sind, wie wir personenbezogene Daten verarbeiten, und sie gemäß dem geltenden Recht verarbeiten werden.

• Zweckbindung: Wir werden personenbezogene Daten zu festgelegten und rechtmäßigen Zwecken verarbeiten und nicht in einer Weise, die mit diesen Zwecken unvereinbar ist.

• Verhältnismäßigkeit: Wir werden personenbezogene Daten in einer Weise verarbeiten, die zu den Zwecken, für die die Verarbeitung beabsichtigt ist, verhältnismäßig ist.

• Datenrichtigkeit: Wir ergreifen geeignete Maßnahmen, um sicherzustellen, dass die von uns gehaltenen personenbezogenen Daten korrekt, vollständig und, falls erforderlich, auf dem neuesten Stand sind. Es liegt jedoch auch in Ihrer Verantwortung sicherzustellen, dass Ihre personenbezogenen Daten so genau, vollständig und aktuell wie möglich sind, indem Sie Tricount unverzüglich über Änderungen oder Fehler informieren.

• Datensicherheit: Wir verwenden geeignete technische und organisatorische Maßnahmen, um die von uns gesammelten und verarbeiteten personenbezogenen Daten zu schützen. Die Maßnahmen, die wir verwenden, sind darauf ausgelegt, ein Sicherheitsniveau zu bieten, das dem Risiko der Verarbeitung Ihrer personenbezogenen Daten angemessen ist. Wir haben, direkt oder indirekt über unsere Dienstleister, die folgenden Sicherheitsmaßnahmen ergriffen: Sicherung des Systemzugriffs, Präventions-, Erkennungs- und Maßnahmen gegen physische Gefahren (z. B. Brand), Sicherungssysteme, Netzwerksicherheit, logischer Zugangsschutz, Liste zulässiger Mitarbeiter und Authentifizierungssystem.

• Datenverarbeiter: Wir können Dritte beauftragen, personenbezogene Daten für und im Namen von Tricount zu verarbeiten. Wir verlangen von diesen Datenverarbeitern, dass sie die personenbezogenen Daten gemäß unseren Anweisungen verarbeiten und geeignete Maßnahmen ergreifen, um sicherzustellen, dass personenbezogene Daten geschützt bleiben.

• Internationale Datenübertragungen: Ihre personenbezogenen Daten können in andere Länder als das Land, in dem Sie wohnen, übertragen und verarbeitet werden. Diese Länder können Datenschutzgesetze haben, die von den Gesetzen Ihres eigenen Landes abweichen (und in manchen Fällen möglicherweise nicht so schützend sind).
  Wir haben jedoch angemessene Schutzmaßnahmen ergriffen, um sicherzustellen, dass Ihre personenbezogenen Daten in Übereinstimmung mit dieser Richtlinie geschützt bleiben. Dazu gehört die Implementierung eines Datenübertragungsvertrags basierend auf den Standardvertragsklauseln der Europäischen Kommission für die Übertragung personenbezogener Daten mit den Drittparteien, die wir zur Erbringung unserer Dienstleistungen beauftragen, die verlangen, dass alle Parteien, die in den von Tricount bereitgestellten Service involviert sind, die von ihnen verarbeiteten personenbezogenen Daten aus dem EWR in Übereinstimmung mit dem Datenschutzrecht der Europäischen Union schützen.
  Unser Datenübertragungsvertrag kann auf Anfrage bereitgestellt werden. Wir haben ähnliche geeignete Schutzmaßnahmen mit unseren Drittanbietern und unseren Partnern getroffen und weitere Details können auf Anfrage bereitgestellt werden.

• Datenspeicherung: Wir speichern die von Ihnen gesammelten personenbezogenen Daten so lange, wie wir ein berechtigtes geschäftliches Bedürfnis haben (z. B. um Ihnen einen von Ihnen angeforderten Service bereitzustellen oder um geltende rechtliche, steuerliche oder buchhalterische Anforderungen zu erfüllen).
  Wenn wir kein berechtigtes geschäftliches Bedürfnis mehr für die Verarbeitung Ihrer personenbezogenen Daten haben, löschen wir sie oder machen sie anonym, oder wenn dies nicht möglich ist (z. B. wenn Ihre personenbezogenen Daten in Backup-Archiven gespeichert wurden), speichern wir sie sicher und isolieren sie von jeglicher weiteren Verarbeitung, bis eine Löschung möglich ist.

5. Ihre Datenschutzrechte

5.1 Sie haben die folgenden Datenschutzrechte:

• Wenn Sie zugreifen, korrigieren oder aktualisieren möchten, können Sie dies jederzeit tun, indem Sie uns kontaktieren unter: privacy@tricount.com.

• In Bezug auf die Löschung Ihrer personenbezogenen Daten können Sie dies auch jederzeit tun, indem Sie uns kontaktieren unter: privacy@tricount.com. Bitte beachten Sie, dass die Daten der Tricounts selbst (Ausgaben usw.) in diesem Zusammenhang nicht gelöscht werden. Da ein Tricount nämlich ein Kontoauszug ist, der zwischen mehreren Nutzern geteilt wird, müssen wir diese Daten aufbewahren, da sie anderen Nutzern weiterhin zugutekommen können. Wenn Sie die Löschung Ihrer personenbezogenen Daten beantragen, werden Ihre Kennungen in den Tricounts, an denen Sie teilnehmen, pseudonymisiert.

• Darüber hinaus können Sie unter bestimmten Umständen der Verarbeitung Ihrer personenbezogenen Daten widersprechen, von uns eine Beschränkung der Verarbeitung verlangen oder die Portabilität Ihrer personenbezogenen Daten verlangen. Auch hier können Sie diese Rechte ausüben, indem Sie uns kontaktieren unter: privacy@tricount.com.

• Wenn wir Ihre personenbezogenen Daten mit Ihrer Einwilligung gesammelt und verarbeitet haben, können Sie Ihre Einwilligung jederzeit widerrufen. Der Widerruf Ihrer Einwilligung beeinflusst nicht die Rechtmäßigkeit der Verarbeitung, die wir vor einem solchen Widerruf durchgeführt haben, und beeinflusst nicht die Verarbeitung Ihrer personenbezogenen Daten, die auf einer anderen rechtlichen Grundlage als der Zustimmung basiert.

• Wenn Sie Beschwerden oder Anliegen darüber haben, wie wir Ihre personenbezogenen Daten verarbeiten, werden wir uns bemühen, diese Bedenken zu beheben. Sollten Sie der Meinung sein, dass wir Ihre Beschwerde oder Ihr Anliegen nicht ausreichend behandelt haben, haben Sie das Recht, bei einer Datenschutzbehörde Beschwerde einzulegen zu unserer Erfassung und Nutzung Ihrer personenbezogenen Daten. Für weitere Informationen kontaktieren Sie bitte Ihre lokale Datenschutzbehörde. (Kontaktdetails für Datenschutzbehörden im Europäischen Wirtschaftsraum sind hier verfügbar.)

5.2 Wir beantworten alle Anfragen, die wir von betroffenen Personen erhalten, die ihre Rechte bezüglich des Schutzes ihrer personenbezogenen Daten gemäß dem geltenden Datenschutzrecht ausüben möchten.Links zu anderen Websites

Die Website und die Anwendungen können Hyperlinks oder Schaltflächen enthalten, die zu Websites und/oder Anwendungen Dritter weiterleiten. Diese Websites/Anwendungen haben ihre eigenen Datenschutzrichtlinien und wir ermutigen Sie, diese zu überprüfen. Sie werden die Nutzung der personenbezogenen Daten, die Sie durch den Besuch dieser Websites übermitteln, regeln.

Wir sind nicht verantwortlich für die Datenschutzpraktiken dieser Drittanbieter-Websites und Ihre Nutzung solcher Websites erfolgt auf eigenes Risiko.

6. Aktualisierung dieser Richtlinie

6.1 Wir können diese Richtlinie von Zeit zu Zeit als Reaktion auf rechtliche, technische oder kommerzielle Entwicklungen aktualisieren. Wenn wir unsere Richtlinie aktualisieren, werden wir geeignete Schritte unternehmen, um Sie unter Berücksichtigung der Bedeutung der von uns vorgenommenen Änderungen darüber zu informieren. Wir werden Ihre Zustimmung zu wesentlichen Änderungen dieser Richtlinie einholen, wenn dies nach geltendem Datenschutzrecht erforderlich ist.

6.2 Sie können das Datum der letzten Aktualisierung dieser Richtlinie überprüfen, indem Sie auf das Datum der "letzten Aktualisierung" am Anfang dieser Richtlinie achten.