Datenschutzrichtlinie

Datenschutzrichtlinie von RingConn

Letzte Aktualisierung und Wirksamkeit: [24.] April 2025

Sie können diese Datenschutzrichtlinie in der RingConn-App und/oder unten auf unserer Website ( https://www.de.ringconn.com ) einsehen.

Diese Datenschutzrichtlinie umfasst:

1. Einleitung
2. Welche Daten erheben wir?
3. Wie wir Ihre Daten verwenden
4. Rechtsgrundlage der Datenverarbeitung
5. Richtlinien für Kinder
6. Wie Daten geteilt und offengelegt werden
7. Wie wir Daten speichern und übermitteln
8. Wie wir Ihre Daten schützen
9. Datenaufbewahrung
10. Welche Rechte haben Sie?
11. Richtlinie für europäische Benutzer
12. Richtlinie für Benutzer in Kalifornien
13. Aktualisierung dieser Datenschutzrichtlinie
14. Salvatorische Klausel
15. Zweisprachigkeit
16. SDK-Partner
17. Wer wir sind und wie Sie uns kontaktieren können
18. Strategie zur Schwachstellenbehandlung

1.EINLEITUNG

Shenzhen Ninenovo Technology Limited, ein nach den Gesetzen der Volksrepublik China gegründetes Unternehmen oder ein mit Ninenovo verbundenes Unternehmen (zusammen „RingConn“, „wir“ oder „uns“), „RingConn“, weiß, wie wichtig unseren Kunden Datenschutz und personenbezogene Daten sind.

Diese Datenschutzrichtlinie soll Ihnen helfen zu verstehen, welche Daten wir erheben, warum wir sie erheben, wie wir sie verarbeiten, speichern und schützen und wie Sie Ihre Daten aktualisieren, verwalten, exportieren und löschen können. Bitte nehmen Sie sich einen Moment Zeit, um diese Richtlinie sorgfältig durchzulesen.

Diese Datenschutzrichtlinie gilt für personenbezogene Daten, die von uns über unsere „Dienste“ erfasst und verarbeitet werden. Dazu gehören: unsere RingConn-Geräte („Geräte“), Anwendungen („App“), Websites, Software, APIs, E-Mails, Newsletter und unsere Dienste.

Indem Sie bei der Installation unserer App in den „Richtlinien zum Schutz personenbezogener Daten“ auf „Zustimmen“ klicken, willigen Sie in die Verarbeitung Ihrer Daten gemäß dieser Datenschutzrichtlinie und den geltenden Gesetzen ein und erklären sich mit den Bedingungen dieser Datenschutzrichtlinie einverstanden.

Wenn Sie mit den hierin enthaltenen Bedingungen nicht einverstanden sind, nutzen Sie unsere Dienste bitte nicht.

2. WELCHE DATEN WIR ERHEBEN

Wenn Sie unsere Dienste nutzen, erfassen wir die folgenden Arten von Daten.

2.1 RINGCONN-GERÄTEDATEN

Ihr RingConn-Gerät erfasst Messdaten, um verschiedene Messwerte zu ermitteln: PPG-Sensordaten, Beschleunigungsdaten und Ihre Hauttemperaturdaten. Wir verwenden die Messdaten, um Daten wie Herzfrequenz, Herzfrequenzvariabilität, Atemfrequenz, Kalorienverbrauch, Schlafphasen, Schrittzahl, Stresslevel und Aktivitätsintensität im Tagesverlauf zu berechnen und zu generieren.

Wenn Ihr RingConn-Gerät mit unserer App oder Software synchronisiert wird, werden die auf Ihrem Gerät aufgezeichneten Daten von Ihrem Gerät auf unsere Server übertragen.

2.2 APP-DATEN

Wenn Sie auf unsere Dienste zugreifen oder diese nutzen, erfassen wir Daten zur App-Aktivität, einschließlich Informationen zu Ihren Interaktionen mit unseren Diensten:

2.2.1 Geräteinformationen: synchronisierte RingConn-Geräteinformationen, Informationen über das mobile Endgerät, auf dem die Anwendung installiert ist (einschließlich Geräte- und Anwendungskennungen), IP-Adressinformationen, Informationen zum Browsertyp, Informationen zur Systemsprache.

2.2.2 App-Aktivität: Informationen zur Anwendungsinteraktion, Suchverlauf in der App, andere benutzergenerierte Inhalte, andere Informationen zur Benutzeraktivität.

2.2.3 Anwendungsinformationen und Leistung: Absturzprotokolle, Diagnoseinformationen zur Anwendungsleistung, andere Daten zur Anwendungsleistung.

Einige unserer integrierten SDKs von Drittanbietern erfassen im Rahmen ihres normalen Betriebs möglicherweise Parameter und Systeminformationen Ihres Mobilgeräts, App-Protokolle, Standortinformationen (abhängig von den von Ihnen erteilten Berechtigungen) usw. Informationen zu den von SDKs von Drittanbietern erfassten Informationen finden Sie in Abschnitt „16. SDK-Partner“.

Einige unserer integrierten SDKs erfassen während ihres normalen Betriebs möglicherweise Informationen zur MAC-Adresse des Geräts und zur Softwareinstallationsliste. Beachten Sie jedoch, dass wir diese SDKs nicht dazu autorisieren oder dazu verpflichten, derartige Informationen zu erfassen.

2.3 STANDORTDATEN

Wenn Sie den Zugriff auf unsere standortbasierten Dienste aktivieren oder diese nutzen, z. B. durch die Aktivierung der GPS-basierten Aktivitätsverfolgung über Ihre App, können wir den ungefähren oder genauen Standort Ihres Geräts verarbeiten, solange der Dienst aktiv ist. Diese Daten können über die Netzwerk-ID Ihres Geräteanbieters, GPS- und/oder WLAN-Daten abgerufen werden.

Wir fordern Standortberechtigungen nur an, um die normale Verbindung und Datenübertragung von Bluetooth-Geräten und die normale Verwendung einiger SDKs von Drittanbietern sicherzustellen.

Wir verarbeiten solche Standortdaten nicht ohne Ihre vorherige Einwilligung. Sie können die Standortverarbeitung jederzeit über die Standortberechtigungseinstellungen Ihres Mobilgeräts deaktivieren. Wir können Ihren ungefähren Standort auch anhand Ihrer IP-Adresse ableiten.

2.4 VON IHNEN BEREITGESTELLTE DATEN

Um ein Konto für unsere Dienste zu erstellen, können Sie uns folgende Daten zur Verfügung stellen: Ihren Benutzernamen, Geburtsjahr und -monat, Geschlecht (weiblich, männlich oder Sie möchten diese Angaben nicht machen), Größe, Gewicht, E-Mail-Adresse, Mobiltelefonnummer, Passwort und Länderinformationen. Diese Daten müssen Sie angeben, um ein Konto bei uns zu erstellen. Sie können auch weitere Informationen angeben, beispielsweise ein Profilfoto. Wenn Sie uns kontaktieren oder an einer Umfrage, einem Wettbewerb oder einer Werbeaktion teilnehmen, erfassen wir die von Ihnen übermittelten Daten wie Ihren Namen, Ihre Kontaktdaten und Ihre Nachricht.

Wenn Sie die Funktion „Menstruationszyklus-Tracking“ in der Anwendung aktivieren und unserer Datenschutzerklärung zustimmen, erklären Sie sich damit einverstanden, uns die folgenden Daten zur Verfügung zu stellen: Verlauf Ihres Menstruationszyklus, typische Periodenlänge usw. bei Ihrer ersten Teilnahme am Fragebogen; Verlauf Ihres Menstruationszyklus, Symptome, Blutungsstärke, ob Sie Alkohol trinken oder Medikamente einnehmen, sowie Daten zu den Messungen und Messwerten, die Sie uns mit Ihrer Zustimmung von Ihrem RingConn-Gerät zur Erfassung ermächtigen. Sie stimmen der Erfassung dieser Daten zu, damit wir Ihnen einen umfassenden Service bieten können. Wenn Sie der Erfassung dieser Daten nicht zustimmen, aktivieren Sie die Funktion „Menstruationszyklus-Tracking“ bitte nicht und lehnen Sie unsere Datenschutzerklärung ab.

Wenn Sie die Funktion „Schlafapnoe-Überwachung“ in der Anwendung aktivieren und unserer Datenschutzerklärung zustimmen, erklären Sie sich damit einverstanden, uns die folgenden Daten zur Verfügung zu stellen: Größe, Gewicht, Alter, BMI, Geschlecht, Halsumfang, Krankengeschichte, OSA-Symptome, Schlafqualität usw. Wir erstellen einen OSAHS-Bewertungsbericht, der Ihre Daten zu Schlafqualität, OSA-Symptomen usw. verwendet. Außerdem ermächtigen Sie uns, Messdaten zu erfassen und Metrikdaten zu generieren, die von Ihrem RingConn-Gerät erfasst werden. Sie stimmen der Erfassung dieser Daten zu, damit wir Ihnen einen umfassenden Service bieten können. Wenn Sie der Erfassung dieser Daten nicht zustimmen, aktivieren Sie die „OSAHS“-Funktion bitte nicht und lehnen Sie unsere Datenschutzerklärung ab.

2.5 DATEN VON DRITTANBIETERN

Wenn Sie sich für den Zugriff auf unsere Dienste über ein Google- oder Apple-Konto entscheiden, erfassen wir Ihren Kontonamen und Ihr Profilbild.

3. WIE WIR IHRE DATEN VERWENDEN

Wir verwenden die von uns erhobenen Daten für die folgenden Zwecke.

3.1 Zur Bereitstellung und Wartung unserer Dienste

Wir verarbeiten personenbezogene Daten, um unsere Dienste bereitzustellen. Beispielsweise, um Ihnen tägliche Einblicke in Ihre Herzfrequenzvariabilität, Ihren Schlaf und Ihre Aktivität zu geben.

Es kann automatische oder zugehörige Startaktionen geben (abhängig von den Benachrichtigungsberechtigungen, die Sie uns erteilen), die hauptsächlich zum Senden von Benachrichtigungen, einschließlich Erinnerungen und anderen Informationen im Zusammenhang mit der Funktionalität der App, verwendet werden, um das Benutzererlebnis zu verbessern und sicherzustellen, dass Sie wichtige Informationen umgehend erhalten.

3.2 Zur Verbesserung und Weiterentwicklung unserer Produkte und Dienstleistungen

Wir nutzen SDKs von Drittanbietern zur Optimierung unserer Produkte und Dienstleistungen, unter anderem zur Erkennung von Anwendungsabstürzen, für Push-Benachrichtigungen, die Anmeldung bei Drittanbieterkonten, Standortbestimmung, Karten und Navigation. Weitere Informationen zu den Datenschutzrichtlinien von SDKs von Drittanbietern finden Sie im Abschnitt „16. SDK-Partner“ dieser Datenschutzrichtlinie.

Wir verarbeiten Daten über Ihre Nutzung von RingConn-Geräten und der App mithilfe des Sensors Data SDK. Dieses kann Daten wie Geräteinformationen, App-Protokolle, Standortinformationen (IP-Adresse, GPS-Standortinformationen), App-Identifikationsinformationen und die Android-ID erfassen. Diese Daten werden erhoben, um unsere Dienste zu verbessern und neue Funktionen zu entwickeln. Wenn möglich, verwenden wir hierfür ausschließlich pseudonymisierte, aggregierte oder nicht persönlich identifizierbare Daten.

Für den Fall, dass Sie uns den Zugriff auf Ihre Standortdaten gestatten und für den Fall, dass Sie der Aktivierung der Positionierungs-, Karten- und Navigationsfunktionen in der App zustimmen, stellen wir Ihnen die entsprechenden Dienste mithilfe von Karten-SDKs von Drittanbietern zur Verfügung, die Daten wie Ihre Standortinformationen, Geräteinformationen, Geräteparameter und Systeminformationen erfassen können.

3.3 Zur Bereitstellung des Kundendienstes

Wir verarbeiten personenbezogene Daten zum Zwecke der Bereitstellung unseres Kundenservice und der Kundenkommunikation. Wenn Sie sich mit Fragen zu Ihren App-Daten an unseren Kundensupport wenden, können wir die bereitgestellten Daten verwenden, um Ihre Fragen zu beantworten und etwaige Probleme zu lösen.

3.4 Zur Erfüllung gesetzlicher Verpflichtungen

In bestimmten Fällen müssen wir bestimmte Daten verarbeiten, wenn dies gesetzlich vorgeschrieben ist. Solche gesetzlichen Verpflichtungen ergeben sich beispielsweise aus buchhalterischen und steuerlichen Anforderungen, Rechtsansprüchen oder anderen rechtlichen Zwecken.

4. Rechtsgrundlage der Datenverarbeitung

Unsere Rechtsgrundlage für die Verarbeitung Ihrer Daten hängt von den jeweiligen Verarbeitungszwecken ab, darunter:

4.1 Vertrag

Wenn wir personenbezogene Daten zum Zwecke der Bereitstellung von Diensten verarbeiten, verarbeiten wir diese auf der Grundlage eines Benutzervertrags, der zustande kommt, wenn Sie Ihr Konto erstellen und unsere Allgemeinen Geschäftsbedingungen akzeptieren.

4.2 Einwilligung

Wir verarbeiten Ihre Gesundheitsdaten nur mit Ihrer Einwilligung. Bitte beachten Sie, dass einige der von uns verarbeiteten personenbezogenen Daten, einschließlich Ihrer Gesundheitsdaten, als besondere oder sensible personenbezogene Daten gelten. Nach geltendem Recht verarbeiten wir diese Daten nur, wenn Sie uns Ihre Einwilligung erteilt haben.

4.3 Berechtigtes Interesse

Wir verarbeiten Ihre personenbezogenen Daten auf Grundlage unserer berechtigten Interessen, wenn wir diese zum Zwecke der Vermarktung unserer Produkte und Dienstleistungen, der Bereitstellung unseres Kundenservice und der Verbesserung unserer Produkte und Dienstleistungen verarbeiten. Bei der Nutzung Ihrer Daten auf Grundlage unserer berechtigten Interessen wägen wir unsere eigenen Interessen sorgfältig gegen Ihr Recht auf Privatsphäre ab, unter Einhaltung des geltenden Rechts.

4.4 Rechtliche Verpflichtung

Wir müssen bestimmte Informationen verarbeiten, um gesetzlichen Verpflichtungen nachzukommen, die in jedem Land unterschiedlich sein können.

5. UNSERE RICHTLINIEN FÜR KINDER

Personen unter 18 Jahren oder einem höheren Mindestalter in ihrem Wohnsitzland dürfen keine RingConn-Konten erstellen. Sollten wir Kenntnis davon erlangen, dass wir personenbezogene Daten eines Kindes unter dem entsprechenden Mindestalter erhoben haben, werden wir diese Daten schnellstmöglich löschen. Eltern, die glauben, dass ihr Kind uns personenbezogene Daten übermittelt hat und diese löschen lassen möchten, können sich an uns wenden (siehe „Kontakt“ weiter unten).

6. WIE DATEN WEITERGEGEBEN UND OFFENGELEGT WERDEN

Wir verkaufen keine personenbezogenen Daten unserer Nutzer. Wir geben Ihre personenbezogenen Daten nur in den unten beschriebenen Fällen weiter.

6.1 Zur externen Auftragsverarbeitung

Wir geben Ihre personenbezogenen Daten an bestimmte vertrauenswürdige Partner weiter, darunter unsere verbundenen Unternehmen, Dienstleister und andere Partner, damit wir Ihnen unsere Dienste bereitstellen und unser Geschäft betreiben können. (Informationen zu verbundenen Unternehmen, Dienstleistern und anderen Partnern, die derzeit in diese Situation involviert sind, finden Sie in Abschnitt „16. SDK-Partner“ dieser Datenschutzrichtlinie.) Wir verlangen von unseren Partnern, dass sie Ihre personenbezogenen Daten gemäß unseren Anweisungen und in Übereinstimmung mit dieser Richtlinie sowie allen anderen geeigneten Vertraulichkeits- und Sicherheitsmaßnahmen verarbeiten. Wir verlangen von diesen Partnern außerdem, dass sie Ihre personenbezogenen Daten mindestens nach den gleichen Standards schützen wie wir.

Wir nutzen externe Verarbeitungsdienste wie:
(1) Speicherung der Daten unserer Nutzer;
(2) Erbringung von Kundendienstleistungen;
(3) Verwaltung und Organisation unserer Marketingaktivitäten. Wir geben Website-Nutzungsdaten ausschließlich zur Analyse und Optimierung unseres Marketings an unsere Werbenetzwerkpartner weiter. Gesundheitsbezogene Daten oder andere sensible personenbezogene Daten geben wir nicht an externe Werbetreibende weiter.
(4) Analyse von Informationen über die Nutzung unseres Online-Dienstes, um unsere Servicequalität zu verbessern.

6.2 WENN SIE UNS ZUSTIMMEN ODER UNS ANWEISEN,

Sie können uns anweisen, Ihre Daten an Dritte weiterzugeben, beispielsweise indem Sie einer Drittanbieter-App wie Apple Health oder Google Fit Zugriff auf Ihre Daten gewähren. Wir können Ihre Daten dann entsprechend Ihren Anforderungen an diesen Drittanbieter weitergeben. Beachten Sie, dass die Verwendung Ihrer Daten durch deren Datenschutzrichtlinien und -bedingungen geregelt ist. Bitte lesen Sie deren aktuelle Richtlinien und Bedingungen sorgfältig durch. Sie können Ihre Einwilligung zur Weitergabe an Drittanbieter-Apps in Ihren Kontoeinstellungen widerrufen. Wir behalten uns außerdem das Recht vor, personenbezogene Daten weiterzugeben, wenn Sie uns Ihre ausdrückliche Einwilligung dazu erteilt haben.

Die Nutzung und Übertragung von Informationen, die RingConn von Google APIs erhält, an andere Apps erfolgt gemäß der Benutzerdatenrichtlinie der Google API Services, einschließlich der Anforderungen zur eingeschränkten Nutzung.

RingConn wird Folgendes verwenden:
https://www.googleapis.com/auth/fitness.sleep.write

https://www.googleapis.com/auth/fitness.sleep.read

https://www.googleapis.com/auth/fitness.heart_rate.write

https://www.googleapis.com/auth/fitness.body_temperature.write

https://www.googleapis.com/auth/fitness.oxygen_saturation.write

https://www.googleapis.com/auth/fitness.body.write

https://www.googleapis.com/auth/fitness.activity.write
um Gesundheitsdaten in Google Fit zu schreiben, darunter Informationen zu Schlaf, Aktivität, Körper, Blutsauerstoff, Herzfrequenz und anderen, sodass Benutzer die vom Ring generierten Daten über Google Fit anzeigen und die Gesundheitsdaten mit Google Fit synchronisieren können.

6.3 AUS RECHTLICHEN GRÜNDEN

Wir behalten uns das Recht vor, personenbezogene Daten offenzulegen, um unsere gesetzlichen Rechte und unser Eigentum zu schützen und um geltende gesetzliche Anforderungen zu erfüllen.

Wir können Ihre Daten aufbewahren oder offenlegen, um Gesetzen, Vorschriften, Rechtsverfahren oder behördlichen Anfragen nachzukommen, um gesetzliche Rechte geltend zu machen oder uns gegen Rechtsansprüche zu verteidigen oder um illegale Aktivitäten, Betrug, Missbrauch, Verstöße gegen unsere Bedingungen oder Bedrohungen der Sicherheit der Dienste oder der körperlichen Unversehrtheit einer Person zu verhindern, aufzudecken oder zu untersuchen.

Wir können nicht personenbezogene Daten weitergeben, die so aggregiert sind, dass sie – auch ohne die Kombination zusätzlicher Informationen – nicht zur Identifizierung einer Person verwendet werden können. Wir können diese Daten öffentlich und an Dritte weitergeben, beispielsweise in öffentlichen Berichten über Sport und Aktivitäten, an Partner, mit denen wir eine Vereinbarung getroffen haben, oder im Rahmen der Community-Benchmarking-Daten, die wir Nutzern unserer Abonnementdienste zur Verfügung stellen.

Wir geben Ihre personenbezogenen Daten nicht an Unternehmen, Organisationen oder Einzelpersonen weiter, außer in den folgenden Fällen:

a) Übermittlung mit ausdrücklicher Zustimmung: Wir übermitteln Ihre personenbezogenen Daten an Dritte, nachdem wir Ihre ausdrückliche Zustimmung eingeholt haben;
b) Im Falle einer Fusion, Übernahme oder Veräußerung von Vermögenswerten ergreifen wir weiterhin Maßnahmen zum Schutz personenbezogener Daten und informieren betroffene Nutzer vor der Übertragung personenbezogener Daten an ein neues Unternehmen. Bei einer Übertragung personenbezogener Daten verlangen wir von dem neuen Unternehmen die weitere Bindung an diese Datenschutzrichtlinie, bevor wir Sie um Ihre unabhängige Einwilligung zur Erhebung und Verarbeitung Ihrer Daten bitten.

7. WIE WIR DATEN SPEICHERN UND ÜBERMITTELN

Wir verarbeiten und sichern personenbezogene Daten über eine globale Betriebs- und Kontrollinfrastruktur. Derzeit nutzen wir in Großbritannien bereitgestellte Cloud-Dienste zur Verarbeitung personenbezogener Daten von Nutzern aus den USA, dem Vereinigten Königreich und dem EWR.

Für die rechtmäßige Übermittlung personenbezogener Daten weltweit stützen wir uns auf verschiedene Rechtsgrundlagen. Dazu gehören Ihre Einwilligung und die von der EU-Kommission genehmigten Mustervertragsklauseln, die bestimmte Datenschutz- und Sicherheitsvorkehrungen vorschreiben. Kopien der Mustervertragsklauseln erhalten Sie, indem Sie uns kontaktieren. Wir unterliegen der Aufsicht der US-amerikanischen Federal Trade Commission und bleiben verantwortlich für personenbezogene Daten, die wir an Dritte weitergeben, die diese in unserem Auftrag verarbeiten, wie im Abschnitt „WIE DATEN WEITERGEGEBEN UND OFFENGELEGT WERDEN“ beschrieben.

Werden personenbezogene Daten außerhalb des Rechtsraums verarbeitet, in dem sie erhoben wurden, stellen wir stets sicher, dass Ihre personenbezogenen Daten durch angemessene Sicherheitsvorkehrungen gemäß den geltenden Datenschutzgesetzen geschützt sind. Bitte beachten Sie, dass in den Ländern, in denen wir tätig sind, möglicherweise andere Datenschutzgesetze gelten als in Ihrem Land und möglicherweise weniger streng. Sie akzeptieren dieses Risiko, wenn Sie ein RingConn-Konto erstellen und auf „Ich stimme zu“ klicken, um die Datenübertragung zuzulassen.

Wenn Sie eine Beschwerde über unseren internationalen Datentransfer haben, kontaktieren Sie uns bitte über die im Abschnitt „So erreichen Sie uns“ beschriebenen Wege. Sie können eine Beschwerde bei der zuständigen Aufsichtsbehörde in Ihrem Land einreichen.

8. WIE WIR IHRE DATEN SPEICHERN, ÜBERMITTELN UND AUFBEWAHREN

Da wir unsere Produkte oder Dienstleistungen über Ressourcen und Server auf der ganzen Welt bereitstellen, stimmen Sie mit Ihrer Zustimmung zu dieser Datenschutzrichtlinie Folgendem zu:

(1) Wenn Sie unsere Dienste nutzen, werden die personenbezogenen Daten, die wir in der Volksrepublik China erfassen und generieren, auf Servern in der Volksrepublik China gespeichert;

(2) Wenn Sie unsere Dienste nutzen, werden die personenbezogenen Daten, die wir außerhalb der Volksrepublik China erfassen und generieren, auf Servern außerhalb der Volksrepublik China gespeichert, einschließlich in anderen Rechtsräumen als dem, in dem die Daten erfasst wurden, oder unterliegen dem Zugriff aus solchen Rechtsräumen;

(3) Derzeit verwenden wir im Vereinigten Königreich eingesetzte Cloud-Server, um personenbezogene Daten von Benutzern in den Vereinigten Staaten, im Vereinigten Königreich, im Europäischen Wirtschaftsraum (EWR) und von asiatischen Benutzern in Regionen außerhalb des chinesischen Festlands zu verarbeiten.

Werden personenbezogene Daten in einem anderen Rechtsraum als dem, in dem sie erhoben wurden, verarbeitet, stellen wir stets sicher, dass Ihre personenbezogenen Daten gemäß den geltenden Datenschutzgesetzen angemessen geschützt sind. Sie sind sich bewusst und verstehen, dass verschiedene Rechtsräume eigene gesetzliche Anforderungen an die Erhebung, Speicherung, Nutzung und Weitergabe von Daten sowie die Verarbeitung personenbezogener Daten haben und möglicherweise einen geringeren Schutz bieten als die Gesetze Ihres Rechtsraums. Wenn Sie ein RingConn-Konto erstellen und auf „Ich stimme zu“ klicken, um Daten zu übertragen, erklären Sie sich damit einverstanden, dieses Risiko zu übernehmen.

Wir können Ihre personenbezogenen Daten an Dritte (innerhalb oder außerhalb des Landes, in dem die Daten erhoben wurden) weitergeben, nachdem wir unseren gesetzlichen Verpflichtungen nachgekommen sind: (1) wie gesetzlich ausdrücklich vorgeschrieben; und (2) mit Ihrer ausschließlichen Zustimmung. In den vorgenannten Fällen werden wir Ihre personenbezogenen Daten gemäß den gesetzlichen Bestimmungen und dieser Datenschutzrichtlinie schützen.

Indem Sie dieser Datenschutzrichtlinie zustimmen, erklären Sie sich damit einverstanden, SDK-Dienste von Drittanbietern zu aktivieren (siehe Abschnitt „16. SDK-Partner“ in dieser Datenschutzrichtlinie) und dass wir die erfassten personenbezogenen und nicht personenbezogenen Daten gemäß den Anforderungen der Datenschutzrichtlinie des Drittanbieters speichern, übertragen und aufbewahren.

Die Aufbewahrungsdauer Ihrer personenbezogenen Daten richtet sich grundsätzlich nach der Dauer Ihres RingConn-Kontos. Ihre personenbezogenen Daten werden gelöscht, sobald sie für den ursprünglichen Zweck nicht mehr benötigt werden, es sei denn, wir sind gesetzlich zu einer längeren Aufbewahrung verpflichtet. Beispielsweise werden Ihre Messdaten zu Schlaf, Stress und Aktivität nur so lange gespeichert, wie Ihr RingConn-Konto aktiv ist.

Wir sind zudem gesetzlich verpflichtet, bestimmte personenbezogene Daten für einen bestimmten Zeitraum aufzubewahren, beispielsweise für Steuerzwecke. Diese erforderlichen Aufbewahrungsfristen können beispielsweise buchhalterische und steuerliche Anforderungen, Rechtsansprüche oder andere rechtliche Zwecke umfassen. Bitte beachten Sie, dass die obligatorischen Aufbewahrungsfristen für personenbezogene Daten je nach den geltenden Gesetzen variieren.

Wenn Sie möchten, können Sie die Löschung Ihres RingConn-Kontos beantragen, indem Sie sich an data_protect@ringconn.com wenden.

9. WIE WIR IHRE DATEN SCHÜTZEN

Wir setzen technische und organisatorische Sicherheitsvorkehrungen ein, um Ihre Daten zu schützen. Gegebenenfalls umfassen diese Maßnahmen wie die Anonymisierung oder Pseudonymisierung personenbezogener Daten, strenge Zugriffskontrollen und den Einsatz von Verschlüsselung zum Schutz der von uns verarbeiteten Daten. Darüber hinaus nutzen wir branchenübliche Datenschutzmaßnahmen, um alle internationalen Übermittlungen personenbezogener Daten durch Datenschutzvereinbarungen mit unseren Dienstleistern abzusichern. Allerdings ist keine Methode der Datenübertragung oder -speicherung absolut sicher. Bei sicherheitsrelevanten Anliegen kontaktieren Sie uns bitte über die im Abschnitt „So erreichen Sie uns“ beschriebenen Wege.

Wir stellen außerdem sicher, dass unsere Mitarbeiter ausreichend geschult werden, um sicherzustellen, dass personenbezogene Daten ausschließlich gemäß unseren internen Richtlinien und im Einklang mit unseren gesetzlichen Verpflichtungen verarbeitet werden. Wir beschränken den Zugriff auf Ihre sensiblen personenbezogenen Daten auf Mitarbeiter, denen dieser Zugriff ausdrücklich gestattet wurde.

Wir testen unseren Service, unsere Systeme und andere Ressourcen regelmäßig auf mögliche Sicherheitslücken. Außerdem aktualisieren wir regelmäßig die RingConn-App und die Firmware der RingConn-Geräte. Wir empfehlen Ihnen, stets die neueste App- und Firmware-Version zu installieren, um den Schutz Ihrer Daten zu maximieren.

Wenn Sie die Funktion „Mit Freunden und Familie teilen“ in der App aktivieren und unserer Datenschutzerklärung zustimmen, willigen Sie ein, dass wir Ihre wöchentlichen Gesundheitsdaten, Schlafdaten, Aktivitätsdaten, Stressdaten, Vitaldaten und Herzfrequenzanomalien, einschließlich der von Ihrem RingConn-Gerät erfassten Messungen und Messwerte sowie der Daten, die Sie uns im Rahmen Ihrer App-Nutzung zur Verfügung stellen, mit anderen registrierten App-Nutzern teilen, die Sie eingeladen haben. Die Freigabe mit Freunden und Familie erfolgt durch die Erstellung eines Freigabelinks. Dieser Link ist einmalig gültig für jede Einladung, die Sie mit anderen App-Nutzern teilen. Sie können die Freigabe Ihrer wöchentlichen Gesundheitsdaten, Schlafdaten, Aktivitätsdaten, Stressdaten, Vitaldaten und Herzfrequenzanomalien jederzeit beenden, indem Sie den entsprechenden Nutzer aus Ihrer von Ihnen allein verwalteten Freigabeliste entfernen. Sie stimmen der Weitergabe dieser Daten zu, damit wir Ihnen einen umfassenden Service bieten können. Sollten Sie der Weitergabe dieser Daten nicht zustimmen, aktivieren Sie die Funktion „Mit Freunden und Familie teilen“ bitte nicht und lehnen Sie unsere Datenschutzerklärung ab. Wenn Sie einen Benutzer aus Ihrer Freigabeliste entfernen, sind die historischen Berichtsdaten, die Sie mit anderen Benutzern geteilt haben, für den entfernten Benutzer nicht mehr zugänglich. SIE STIMMEN ZU, DASS SIE, WENN SIE VON EINEM ANDEREN REGISTRIERTEN BENUTZER EINGELADEN WERDEN, AUF DIE WÖCHENTLICHEN GESUNDHEITSBERICHTSDATEN, SCHLAFDATEN, AKTIVITÄTSDATEN, STRESSDATEN, VITALZEICHENDATEN ODER HERZFREQUENZABNORMALITÄTEN EINER ANDEREN PERSON ZUZUGREIFEN, DIE DATEN DES BENUTZERS NICHT AN ANDERE PERSONEN ODER ORGANISATIONEN OFFENLEGEN, ÜBERMITTELN, KOPIEREN, HERUNTERLADEN ODER AUF ANDERE WEISE TEILEN DÜRFEN, DIE NICHT VOM BENUTZER AUTORISIERT WURDEN, UND DASS MASSNAHMEN, DIE ZU EINER VERLETZUNG VON DATENSCHUTZGESETZEN FÜHREN, NICHT GEFÖRDERT ODER ERLAUBT WERDEN UND DASS WIR NICHT FÜR JEGLICHE RECHTLICHE VERBINDLICHKEITEN VERANTWORTLICH SIND, DIE AUS IRGENDEINER IHRER UNANGEMESSENEN AKTIVITÄTEN ENTSTEHEN KÖNNEN.

 

10. WAS SIND IHRE RECHTE

10.1 IHRE RECHTE NACH GELTENDEM RECHT

Sie haben gemäß den geltenden Gesetzen Rechte und Wahlmöglichkeiten in Bezug auf Ihre Daten. Einige dieser Rechte gelten allgemein, andere nur unter bestimmten Umständen. Je nach Situation können diese Rechte Einschränkungen unterliegen. Bitte beachten Sie, dass wir Ihnen unsere Dienste möglicherweise nicht mehr anbieten können, wenn Sie einige Ihrer folgenden Rechte ausüben, z. B. indem Sie Ihre Einwilligung zu unserer Datenschutzrichtlinie widerrufen.

Sie können die folgenden Rechte in Bezug auf Ihre Daten ausüben:

(1) Recht auf Bestätigung und Auskunft. Sie können von uns eine Bestätigung darüber verlangen, ob Ihre Daten verarbeitet werden. Sie können auch Auskunft über Ihre Daten verlangen und eine Kopie der personenbezogenen Daten erhalten, die wir über Sie erhoben und gespeichert haben.

(2) Recht auf Berichtigung. Sie können Ihre Daten in den Kontoeinstellungen der App aktualisieren, berichtigen oder ändern. Sie können uns bitten, Ihre Daten zu aktualisieren, zu berichtigen oder zu ändern, wenn diese nicht korrekt sind.

(3) Recht auf Löschung. Sie haben gemäß den geltenden Gesetzen das Recht, von uns die Löschung, Vernichtung oder Anonymisierung Ihrer personenbezogenen Daten zu verlangen. Unter bestimmten Umständen können Sie uns gemäß den geltenden Gesetzen auffordern, die Weitergabe personenbezogener Daten an Dritte einzustellen.

(4) Recht auf Datenübertragbarkeit. Sie haben das Recht auf Datenübertragbarkeit, sofern wir uns auf vertragliche Notwendigkeit und Einwilligung als Rechtsgrundlage berufen. Das bedeutet, dass Sie das Recht haben, Ihre Daten in einem strukturierten, allgemein verwendeten und maschinenlesbaren Format zu erhalten und an Dritte weiterzugeben.

(5) Recht auf Widerruf der Einwilligung. Sie können die Einwilligung zur Verarbeitung personenbezogener Daten, die auf Ihrer Einwilligung beruht, widerrufen, sofern dieser Widerruf nicht durch Gesetz oder Vertrag eingeschränkt ist. Der Widerruf berührt jedoch nicht die Rechtmäßigkeit und Wirksamkeit der Verarbeitung Ihrer personenbezogenen Daten, die wir auf Grundlage Ihrer Einwilligung vor dem Widerruf verarbeitet haben.

Sie können Ihre Einwilligung in den Kontoeinstellungen Ihrer App widerrufen.

b. Wenn Sie die elektronischen Mitteilungen abbestellen möchten, überprüfen Sie bitte Ihre Benachrichtigungseinstellungen in den Kontoeinstellungen Ihrer App, um unsere Marketingmitteilungen an Sie zu steuern.

(6) Recht auf Widerspruch oder Einschränkung der Verarbeitung. Sie haben das Recht, unter bestimmten Umständen unserer Verarbeitung Ihrer Daten zu widersprechen oder diese einzuschränken, sofern Sie sich auf berechtigte Interessen oder öffentliche Interessen gemäß geltendem Recht berufen. Beispielsweise können Sie gemäß geltendem Recht verlangen, dass wir die Verarbeitung Ihrer personenbezogenen Daten für Direktmarketingzwecke einstellen oder nicht beginnen. Sie können unter bestimmten Umständen gemäß geltendem Recht einer Entscheidung widersprechen, die ausschließlich auf einer automatisierten Verarbeitung in Bezug auf Ihr Profil beruht.

Bei der Einreichung eines Widerspruchs oder eines Antrags auf Einschränkung sollten Sie erläutern, gegen welche konkrete Verarbeitungsaktivität Sie Einspruch erheben oder welche eingeschränkt werden soll und warum die Verarbeitung eingestellt werden sollte. Wir werden die jeweilige Verarbeitung einstellen, wenn wir keine zwingenden berechtigten Gründe für die Fortsetzung der Verarbeitung haben oder sie nicht für Rechtsansprüche benötigen.

10.2 SO ÜBEN SIE IHRE RECHTE AUS

Sie können diese Rechte ausüben, indem Sie sich bei Ihrem Konto anmelden und Ihre Kontoeinstellungen verwenden oder uns wie im Abschnitt „So erreichen Sie uns“ angegeben schriftlich oder auf andere nach geltendem Recht zulässige Weise kontaktieren.

Wir stellen sicher, dass Sie Ihre Rechte gemäß den geltenden Gesetzen ausüben können. Abhängig von den geltenden Gesetzen kann es Situationen geben, in denen wir Ihre Anfragen ablehnen, beispielsweise wenn die Ablehnung auf gerichtlichen Beschluss beruht oder die Ausübung Ihrer Rechte die Rechte und Freiheiten anderer beeinträchtigen würde.

Wenn Sie Ihre Rechte ausüben müssen, bitten wir Sie möglicherweise, Ihre Identität zu authentifizieren, beispielsweise über Ihr RingConn-Konto.

Normalerweise müssen Sie uns nichts bezahlen, wenn Sie Ihre Rechte gemäß den geltenden Gesetzen ausüben. Wir behalten uns jedoch das Recht vor, Ihnen für die Bearbeitung eines Datenzugriffs, einer Korrekturanfrage oder anderer Szenarien, in denen die Erhebung einer Gebühr gemäß den geltenden Gesetzen zulässig ist, eine angemessene Gebühr zu berechnen.

Wir werden auf Ihre Anfragen innerhalb der Fristen antworten, die in den geltenden Gesetzen Ihres Wohnsitzlandes/Ihrer Wohnsitzregion vorgesehen sind.

Wenn Sie Fragen zu dieser Datenschutzrichtlinie oder zur Ausübung Ihrer Rechte haben, können Sie Ihre Anfrage schriftlich an die E-Mail-Adresse senden, die wir unten unter „So erreichen Sie uns“ angeben.

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten durch uns nicht im Einklang mit dieser Datenschutzrichtlinie oder den geltenden Gesetzen steht, haben Sie das Recht, bei der zuständigen Aufsichtsbehörde in Ihrem Land Beschwerde einzulegen.

11.RICHTLINIEN FÜR EUROPÄISCHE BENUTZER

Wenn Sie im Europäischen Wirtschaftsraum (EWR), im Vereinigten Königreich (UK) oder in der Schweiz leben, lesen Sie bitte diese zusätzlichen Datenschutzbestimmungen gemäß der Datenschutz-Grundverordnung („DSGVO“) der Europäischen Union.

11.1 IHR DATENVERANTWORTLICHER

Shenzhen Jiu Zhi Technology Co.Ltd, ein nach dem Recht der Volksrepublik China gegründetes Unternehmen, ist Ihr Datenverantwortlicher und stellt die Dienste bereit, wenn Sie im EWR, Großbritannien oder der Schweiz leben. Unsere Kontaktinformationen finden Sie im Abschnitt „So erreichen Sie uns“.

11.2 GESUNDHEITSDATEN UND ANDERE BESONDERE KATEGORIEN PERSONENBEZOGENER DATEN

Soweit es sich bei den von uns erhobenen Daten um Gesundheitsdaten oder eine andere besondere Kategorie personenbezogener Daten handelt, die der DSGVO unterliegen, bitten wir Sie um Ihre ausdrückliche Einwilligung zur Datenverarbeitung. Diese Einwilligung holen wir gesondert ein, wenn Sie Maßnahmen ergreifen, die zur Erhebung der Daten durch uns führen, beispielsweise wenn Sie Ihr Gerät mit Ihrem Konto verknüpfen. Sie können Ihre Einwilligung jederzeit über Ihre Kontoeinstellungen in der App und auf Ihrem Mobilgerät widerrufen, beispielsweise durch Entkoppeln Ihres Geräts oder Löschen Ihrer Daten oder Ihres Kontos.

11.3 SO WERDEN SIE VON IHREN GESETZLICHEN RECHTEN GENOMMEN

Bitte lesen Sie den Abschnitt „WELCHE RECHTE HABEN SIE?“, um zu erfahren, wie Sie Ihre Rechte gemäß der DSGVO ausüben können.

Gemäß DSGVO haben Sie ein allgemeines Widerspruchsrecht gegen die Nutzung Ihrer Daten für Direktmarketingzwecke. In Ihren „Erinnerungseinstellungen“ unter „Ich“ in der App können Sie unsere Marketingkommunikation zu unseren Diensten steuern.

12. RICHTLINIEN FÜR BENUTZER IN KALIFORNIEN

Wenn Sie in Kalifornien ansässig sind, lesen Sie bitte diese zusätzlichen Datenschutzbestimmungen gemäß dem California Consumer Privacy Act („CCPA“).

12.1 WIE WIR IHRE INFORMATIONEN ERHEBEN, VERWENDEN UND WEITERGEBEN

Wenn ein Kunde mit unseren Diensten interagiert, erfassen wir Informationen, die einen bestimmten Verbraucher oder ein bestimmtes Gerät identifizieren, sich darauf beziehen, es beschreiben, auf es verweisen, vernünftigerweise damit in Verbindung gebracht werden können oder vernünftigerweise direkt oder indirekt damit verknüpft werden könnten. Diese Informationen werden gemäß CCPA als „personenbezogene Daten“ definiert.

Informationen zu den Kategorien personenbezogener Daten, die wir erfassen, den Zwecken, für die Ihre personenbezogenen Daten verarbeitet werden, und zur Weitergabe Ihrer personenbezogenen Daten finden Sie in den entsprechenden Abschnitten dieser Datenschutzerklärung oben.

Wir verkaufen niemals (in der vom CCPA definierten Weise) die personenbezogenen Daten unserer Benutzer.

12.2 Verbraucherrechte in Kalifornien

Wenn Sie in Kalifornien ansässig sind, haben Sie gemäß CCPA bestimmte Rechte:

(1) Recht auf Auskunft über die von uns erhobenen und weitergegebenen personenbezogenen Daten

Der CCPA gibt Ihnen das Recht, die Offenlegung Ihrer personenbezogenen Daten zu verlangen, die wir in den letzten 12 Monaten über Sie erhoben haben. Wir tun dies, nachdem wir Ihre Anfrage erhalten und validiert haben. Sobald wir Ihre überprüfbare Verbraucheranfrage erhalten und bestätigt haben, teilen wir Ihnen Folgendes mit:

a. Die Kategorien personenbezogener Daten, die wir über Sie erhoben haben;

b. Die Kategorien personenbezogener Daten, die wir über Sie offengelegt haben (falls vorhanden);

c. Die Kategorien von Quellen für die personenbezogenen Daten, die wir über Sie erhoben haben;

d. Unsere geschäftlichen oder kommerziellen Zwecke für die Erhebung oder den Verkauf dieser personenbezogenen Daten;

e. Die Kategorien von Dritten, mit denen wir diese personenbezogenen Daten teilen; und

f. Die spezifischen personenbezogenen Daten, die wir über Sie gesammelt haben.

(2) Recht auf Löschung

Sie haben das Recht, die Löschung Ihrer personenbezogenen Daten zu verlangen, vorbehaltlich bestimmter Ausnahmen, beispielsweise wenn wir gesetzlich zur Aufbewahrung der betreffenden Daten verpflichtet sind. Nach Eingang und Prüfung Ihres Antrags löschen wir Ihre personenbezogenen Daten und weisen unsere Dienstleister an, Ihre personenbezogenen Daten ebenfalls zu löschen, sofern keine Ausnahme vorliegt.

(3) So üben Sie Ihre Datenschutzrechte gemäß CCPA aus

Wenn Sie in Kalifornien ansässig sind, können Sie die Offenlegung, den Zugriff auf und/oder die Löschung Ihrer personenbezogenen Daten wie oben beschrieben beantragen, indem Sie uns eine überprüfbare Verbraucheranfrage senden, indem Sie entweder:

Senden Sie eine E-Mail an data_protect@ringconn.com und fügen Sie Ihrer Anfrage folgende Informationen bei: Ihren vollständigen Namen, ggf. Firmennamen, Adresse, E-Mail-Adresse und Telefonnummer. Wir können Sie gegebenenfalls um die Angabe zusätzlicher Informationen bitten, um Ihre Identität zu bestätigen. Dies dient Sicherheitszwecken und ist in manchen Fällen gesetzlich vorgeschrieben.

Nur Sie oder eine beim kalifornischen Außenminister registrierte Person, die Sie bevollmächtigen, in Ihrem Namen zu handeln, können eine überprüfbare Verbraucheranfrage in Bezug auf Ihre personenbezogenen Daten stellen.

Sie haben das Recht, innerhalb von 12 Monaten bis zu zwei Mal kostenlos eine Anfrage zu stellen. Wir beantworten alle bestätigten Anfragen innerhalb von 45 Tagen nach Eingang Ihrer Anfrage, sofern wir keine Fristverlängerung beantragen. Sollten wir für die Beantwortung Ihrer Anfrage eine Fristverlängerung benötigen, werden wir Sie innerhalb der ersten 45 Tage darüber informieren.

12.3 Nichtdiskriminierung

Wir diskriminieren keine Nutzer, die ihre Datenschutzrechte gemäß dem CCPA geltend machen möchten. Sofern keine Ausnahme zutrifft, beinhaltet dies unser Versprechen, Folgendes nicht zu tun:

a. Ihnen Waren oder Dienstleistungen zu verweigern;

b. Ihnen unterschiedliche Preise oder Tarife für Waren oder Dienstleistungen in Rechnung zu stellen, einschließlich der Gewährung von Rabatten oder anderen Vorteilen oder der Verhängung von Strafen;

c. Ihnen Waren oder Dienstleistungen in einem anderen Umfang oder einer anderen Qualität anzubieten; oder

d. Ihnen vorzuschlagen, dass Sie für Waren oder Dienstleistungen einen anderen Preis oder Tarif oder ein anderes Niveau oder eine andere Qualität der Waren oder Dienstleistungen erhalten könnten.

13. AKTUALISIERUNG DIESER DATENSCHUTZERKLÄRUNG

Wir benachrichtigen Sie, bevor wir wesentliche Änderungen an dieser Richtlinie vornehmen, und geben Ihnen die Möglichkeit, die überarbeitete Richtlinie zu prüfen, bevor Sie entscheiden, ob Sie die Dienste weiterhin nutzen möchten. Frühere Versionen der Richtlinie können Sie auf unserer Website ( https://www.de.ringconn.com ) einsehen.

Wir werden Ihre Rechte aus dieser Datenschutzrichtlinie ohne Ihre ausdrückliche Zustimmung nicht einschränken. Änderungen dieser Richtlinie werden wir auf dieser Seite veröffentlichen.

Bei wesentlichen Änderungen werden wir Sie auch deutlicher darauf hinweisen (bei bestimmten Diensten beispielsweise per E-Mail über bestimmte Änderungen der Datenschutzrichtlinie).

Wesentliche Änderungen im Sinne dieser Richtlinie umfassen unter anderem:

Wesentliche Änderungen unseres Servicemodells. Beispielsweise der Zweck der Verarbeitung personenbezogener Daten, die Art der verarbeiteten personenbezogenen Daten und die Art und Weise, wie personenbezogene Daten verwendet werden;
b. Wesentliche Änderungen unserer Eigentumsstruktur, Organisationsstruktur usw., wie etwa Änderungen der Eigentumsverhältnisse aufgrund von Unternehmensumstrukturierungen, Insolvenzen sowie Fusionen und Übernahmen;

c. Änderungen bei den Hauptempfängern weitergegebener, übermittelter oder öffentlich bekannt gegebener personenbezogener Daten;

d. Wesentliche Änderungen Ihres Mitwirkungsrechts bei der Verarbeitung personenbezogener Daten und der Art und Weise, wie dieses ausgeübt wird;
e. Änderungen in der Abteilung, die für die Sicherheit personenbezogener Daten, Kontaktinformationen und Beschwerdekanäle zuständig ist;
f. Wenn der Bericht zur Sicherheitsfolgenabschätzung personenbezogener Daten darauf hinweist, dass ein hohes Risiko besteht.

14. SALVATORISCHE KLAUSEL

Sollte ein beliebiger Teil dieser Datenschutzrichtlinie von einem Gericht oder einer anderen zuständigen Behörde für ungültig, rechtswidrig oder nicht durchsetzbar befunden werden, wird dieser Teil von den übrigen Bestimmungen dieser Datenschutzrichtlinie getrennt, die im größtmöglichen gesetzlich zulässigen Umfang weiterhin gültig und durchsetzbar bleiben.

15. SPRACHE

Für Nutzer außerhalb der Volksrepublik China gilt diese Datenschutzrichtlinie in englischer Sprache und gegebenenfalls in der Sprache Ihres Wohnsitzlandes. Für Nutzer außerhalb der Volksrepublik China sind die englische Version und andere Sprachversionen gleichermaßen verbindlich. Im Falle von Abweichungen zwischen verschiedenen Versionen ist die englische Version maßgebend.

16. SDK-PARTNER

Wir verwenden möglicherweise Mobile SDKs, um Informationen wie Mobile IDs und Informationen zur Interaktion mobiler Geräte und ihrer Nutzer mit unserer App zu erfassen. Das SDK ist ein Computercode, den App-Entwickler in ihre Apps integrieren können, um die Datenerfassung und die Implementierung zugehöriger Dienste zu ermöglichen.

17. WER WIR SIND UND WIE SIE UNS KONTAKTIEREN KÖNNEN

Wenn Sie Fragen zu dieser Richtlinie haben oder Hilfe bei der Ausübung Ihrer Datenschutzrechte benötigen, wenden Sie sich bitte an unseren Datenschutzbeauftragten unter
data_protect@ringconn.com

Sie erreichen uns unter:
Shenzhen Ninenovo Technology Limited

Raum 1403, Gebäude 2, Chongwen Park, Nanshan Zhiyuan, Nr. 3370, Liuxian Avenue, Fuguang Community, Taoyuan Street, Nanshan District, Shenzhen, Guangdong, China.
E-Mail-Adresse des Kundensupports:
cs@ringconn.com

Telefon: +86 755 26401874

18. Strategie zur Schwachstellenbehandlung

18.1 Grundsätze des Unternehmens zum Schwachstellenmanagement

Unser Unternehmen betrachtet den Aufbau und die umfassende Implementierung eines umfassenden globalen Netzwerksicherheitssystems seit jeher als eine seiner wichtigsten Entwicklungsstrategien und hat ein nachhaltiges und zuverlässiges Schwachstellenmanagementsystem in Bezug auf Richtlinien, Organisation, Prozesse, Management, Technologie und Vorschriften etabliert. Wir arbeiten offen mit externen Stakeholdern zusammen, um die Herausforderungen im Zusammenhang mit Schwachstellen zu bewältigen.

Um die grundsätzliche Haltung und den Ansatz unseres Unternehmens zu Schwachstellen zu verdeutlichen, schlagen wir fünf grundlegende Prinzipien für das Schwachstellenmanagement vor:

18.1.1 Schaden reduzieren und Risiken minimieren

Die Reduzierung oder Beseitigung des Schadens, der durch Schwachstellen in Produkten und Dienstleistungen für Kunden entsteht, und die Reduzierung der potenziellen Sicherheitsrisiken, die durch Schwachstellen für Kunden/Benutzer entstehen, ist nicht nur unsere Vision für das Schwachstellenmanagement, sondern auch die Werterichtlinie, der wir bei der Beseitigung und Offenlegung von Schwachstellen folgen.

18.1.2 Reduzierung und Minderung von Schwachstellen

Obwohl es unvermeidliche Lücken im Branchenkonsens gibt, werden wir uns dennoch um Folgendes bemühen:

1) Ergreifen Sie Maßnahmen zur Verringerung der Schwachstellen in Produkten und Dienstleistungen;

2) Sobald Schwachstellen in Produkten und Diensten entdeckt werden, stellen Sie Kunden/Benutzern umgehend Lösungen zur Risikominderung zur Verfügung.

18.1.3 Proaktives Management

Zur Lösung des Schwachstellenproblems sind gemeinsame Anstrengungen der vor- und nachgelagerten Lieferketten erforderlich. Wir werden proaktiv unsere eigenen Verantwortlichkeiten im Schwachstellenmanagement identifizieren und die rechtlichen Anforderungen klären, einschließlich gesetzlicher Anforderungen, vertraglicher Anforderungen und geltender öffentlicher Standards für den Geschäftsbetrieb. Wir werden ein Managementsystem aufbauen und die Führung im Management übernehmen.

18.1.4 Kontinuierliche Optimierung

Netzwerksicherheit ist ein dynamischer Prozess, der sich ständig weiterentwickelt. Angesichts der zunehmenden Bedrohungen müssen auch die Verteidiger kontinuierlich Innovationen entwickeln. Wir werden die Arbeitsabläufe und Standards im Schwachstellenmanagement weiter optimieren, kontinuierlich Branchenstandards und bewährte Verfahren nutzen und unsere Kompetenz im Schwachstellenmanagement weiter ausbauen.

18.1.5 Offene Zusammenarbeit

Wir werden eine offene und kooperative Haltung beibehalten, die Verbindung zwischen der Lieferkette und dem externen Sicherheitsökosystem stärken, einschließlich der vor- und nachgelagerten Bereiche der Lieferkette, Sicherheitsforscher, Sicherheitsunternehmen, Sicherheitsaufsichtsbehörden usw.; und wir werden die Zusammenarbeit mit Interessengruppen bei der Arbeit im Zusammenhang mit Sicherheitslücken stärken und vertrauensvolle Kooperationsbeziehungen aufbauen.

18.2 Prozess zur Schwachstellenbehandlung

Das Unternehmen setzt sich für die Verbesserung der Produktsicherheit ein und unterstützt den sicheren Betrieb von Kundennetzwerken und Unternehmen umfassend. Das Unternehmen legt großen Wert auf das Schwachstellenmanagement bei Produktentwicklung und -wartung und etabliert einen umfassenden Schwachstellenbehandlungsprozess gemäß Standards wie ISO/IEC 30111 und ISO/IEC 29147, um die Produktsicherheit zu verbessern und eine zeitnahe Reaktion bei der Entdeckung von Schwachstellen zu gewährleisten.

18.2.1 Bewusstsein für Schwachstellen: Akzeptieren und sammeln Sie vermutete Schwachstellen im Produkt.

18.2.2 Überprüfung und Bewertung: Bestätigen Sie die Wirksamkeit und den Umfang der Auswirkungen vermuteter Schwachstellen.

18.2.3 Patchen von Schwachstellen: Entwickeln und implementieren Sie Pläne zum Patchen von Schwachstellen;

18.2.4 Veröffentlichung von Informationen zu Patches zu Sicherheitslücken: Geben Sie Informationen zu Patches zu Sicherheitslücken an Kunden weiter.

18.2.5 Geschlossener Verbesserungskreislauf: Kontinuierliche Verbesserung auf der Grundlage von Kundenfeedback und Praxis.

Die frühzeitige Erkennung von Schwachstellen ist eine wichtige Voraussetzung für eine rechtzeitige Reaktion. Das Unternehmen ermutigt Sicherheitsforscher, Branchenorganisationen, Kunden und Lieferanten, vermutete Schwachstellen proaktiv an PSIRT zu melden, und verpflichtet Vorlieferanten, Schwachstellen in ihren Liefergegenständen umgehend an das Unternehmen zu melden. Darüber hinaus überwacht das Unternehmen aktiv bekannte öffentliche Schwachstellenbibliotheken, Open-Source-Communitys, Sicherheitswebsites und andere Informationsquellen, um produktbezogene Schwachstelleninformationen rechtzeitig zu erkennen. Das Unternehmen kümmert sich um vermutete Schwachstellen und überprüft die Auswirkungen aller Produktversionen, die nicht am Ende des Service- und Support-Zeitraums (EOS) stehen. Basierend auf branchenüblichen Best Practices wird Kunden dringend empfohlen, regelmäßig zu prüfen, ob ihre Produkte noch unterstützt werden, um die neuesten Software-Updates nutzen zu können.

Bei allen an PSIRT gemeldeten mutmaßlichen Schwachstellen arbeitet PSIRT mit dem Produktteam zusammen, um die Schwachstellen zu analysieren/validieren, den Schweregrad der Schwachstellen anhand ihrer tatsächlichen Auswirkungen auf das Produkt zu bewerten, Patch-Prioritäten festzulegen und Pläne zur Behebung der Schwachstellen zu entwickeln (einschließlich Maßnahmen zur Schadensbegrenzung, Patches/Versionen und anderer vom Kunden umsetzbarer Pläne zur Risikominderung). Das Unternehmen gibt Informationen zu Schwachstellen an Stakeholder weiter, um Schäden und Risiken zu minimieren und Kunden bei der Bewertung der tatsächlichen Risiken von Schwachstellen für ihre Netzwerke zu unterstützen.

Stellt das Unternehmen während der Produktentwicklung, -lieferung oder -bereitstellung Schwachstellen in den Produkten oder Dienstleistungen des Lieferanten fest, teilt es dem Lieferanten proaktiv die erforderlichen Reparaturen mit. Bei Schwachstellen in Open-Source-Software folgt das Unternehmen der Schwachstellenmanagementstrategie der Open-Source-Community, meldet vermutete Schwachstellen der Open-Source-Community, fördert die zeitnahe Veröffentlichung von Patch-Lösungen und trägt aktiv zu deren Behebung bei.

PSIRT koordiniert die Behandlung der Schwachstelle mit dem Meldenden. Es fungiert als Koordinator oder über ein externes Koordinationszentrum, meldet die Schwachstelle an andere Anbieter, Standardorganisationen usw. und fördert deren Behebung. Betrifft die Schwachstelle Standardprotokolle, wird empfohlen, dass der Meldende sie an PSIRT meldet und gleichzeitig Branchenorganisationen informiert. Beispielsweise können Schwachstellen im Zusammenhang mit 3GPP-Kommunikationsprotokollen gleichzeitig an den GSMA Coordinated Vulnerability Disclosure Plan (CVD) gemeldet werden.

Basierend auf dem Prinzip der kontinuierlichen Optimierung wird das Unternehmen die Produktsicherheit, die Prozesse zur Schwachstellenbehandlung und andere Aspekte kontinuierlich verbessern.

Während des gesamten Schwachstellenbehebungsprozesses kontrolliert PSIRT den Umfang der Schwachstelleninformationen streng und übermittelt diese nur an Mitarbeiter, die an der Schwachstellenbehebung beteiligt sind. Wir bitten den Meldenden außerdem, diese Schwachstelleninformationen vertraulich zu behandeln, bis unser Kunde eine vollständige Lösung erhält.

Das Unternehmen ergreift notwendige und angemessene Schutzmaßnahmen für die erhobenen Daten auf Grundlage der gesetzlichen Compliance-Anforderungen. Sofern nicht ausdrücklich von den betroffenen Kunden gewünscht oder gesetzlich vorgeschrieben, werden die oben genannten Daten nicht freiwillig an Dritte weitergegeben oder offengelegt.

18.3 Bewertung des Schweregrads der Sicherheitslücke

Das Unternehmen wendet Industriestandards an, um den Schweregrad vermuteter Schwachstellen in seinen Produkten zu bewerten. Am Beispiel des CVSS (Common Vulnerability Scoring System) umfasst das Modell drei Indikatorgruppen: Basisindikatorgruppe, Zeitindikatorgruppe und Umgebungsindikatorgruppe. Das Unternehmen bietet Basisbewertungen für Schwachstellen sowie in einigen Fällen auch Zeit- und Umgebungsbewertungen für typische Szenarien an. Endnutzer werden ermutigt, die Bewertung der Umgebungsschwachstelle anhand ihrer tatsächlichen Netzwerksituation zu bewerten. Diese dient als endgültige Bewertung der Schwachstelle in ihrer spezifischen Umgebung und unterstützt die Entscheidungsfindung bei der Implementierung von Plänen zur Schwachstellenminderung.

Bei Cloud-Diensten bestimmt das Unternehmen die Prioritätsstufe der Behandlung anhand der Ergebnisse der Risikobewertung von Schwachstellen, die in der Cloud ausgenutzt werden. Im intelligenten Automobilgeschäft beziehen sich Produktschwachstellen auf den ISO/SAE 21434-Standard und der Schweregrad der Schwachstellen wird anhand ihrer tatsächlichen Auswirkungen auf das Produkt bewertet, um die Priorität der Schwachstellenbehebung zu bestimmen.

Da verschiedene Branchen unterschiedliche Standards verfolgen, verwenden Unternehmen das Security Severity Rating (SSR) als einfachere Bewertungsmethode. SSR klassifiziert Schwachstellen basierend auf der umfassenden Bewertung des Schweregrads in fünf Stufen: Kritisch, Hoch, Mittel, Niedrig und Informativ.

18.4 Schwachstellen in der Software von Drittanbietern

Aufgrund der vielfältigen Möglichkeiten und Szenarien, in denen Drittanbietersoftware/-komponenten in das Produkt integriert werden, passt das Unternehmen die Schwachstellenbewertung von Drittanbietersoftware/-komponenten an die spezifischen Produktszenarien an, um die tatsächlichen Auswirkungen der Schwachstelle widerzuspiegeln. Wird beispielsweise das betroffene Modul einer Drittanbietersoftware/-komponente nicht aufgerufen, gilt die Schwachstelle als „nicht ausnutzbar und nicht betroffen“. Kann das bestehende Bewertungssystem die Bewertungsdimensionen nicht abdecken, liegt die Verantwortung für die Interpretation der Bewertungsergebnisse beim Unternehmen.

Wenn alle drei Kriterien gleichzeitig erfüllt sind, kennzeichnet das Unternehmen diese Sicherheitslücke als „High Profile“:

• CVSS-Score von 4,0 oder höher.
• Diese Sicherheitslücke hat große öffentliche Aufmerksamkeit erregt.
• Für die Sicherheitslücke sind wahrscheinlich bereits Exploits verfügbar oder es gibt bereits Exploits, und sie kann aktiv ausgenutzt werden.

Bei Schwachstellen von Drittanbietern mit der Klassifizierung „High Profile“ überprüft das Unternehmen alle Nicht-EOS-Produktversionen und veröffentlicht nach Bestätigung der Schwachstelle innerhalb von 24 Stunden eine Sicherheitsmitteilung (SN), um die betroffenen Kunden über den Umgang des Unternehmens mit der Schwachstelle zu informieren. Liegt ein Plan zur Behebung der Schwachstelle vor, unterstützt das Unternehmen betroffene Kunden über die Sicherheitsmitteilung (SA) bei der Risikoentscheidung und -minderung. Schwachstellen von Drittanbietern, die nicht als „High Profile“ eingestuft sind, werden im Versions-/Patch-Handbuch erläutert.

18.5 Ankündigung von Sicherheitslücken

18.5.1 Ankündigungsformular

Das Unternehmen nutzt die folgenden drei Formen, um Informationen zu Sicherheitslücken und Patch-Lösungen der Öffentlichkeit zugänglich zu machen:

• Sicherheitshinweise (SA), die Informationen wie den Schweregrad der Sicherheitslücke, die geschäftlichen Auswirkungen und Patch-Lösungen enthalten, dienen der Kommunikation von Patch-Lösungen für Sicherheitslücken. Sicherheitshinweise (SA) dienen der Veröffentlichung kritischer und hochrangiger Sicherheitslücken sowie von Patch-Lösungen, die direkt mit dem Produkt in Zusammenhang stehen. Der Sicherheitshinweis (SA) bietet die Möglichkeit, Inhalte des Common Vulnerability Reporting Framework (CVRF) herunterzuladen. Diese Inhalte beschreiben Sicherheitslücken in maschinenlesbarem Format (XML-Datei), um die Tool-Nutzung durch betroffene Kunden zu unterstützen.
• Sicherheitshinweis: (SN) enthält Antworten auf öffentliche Sicherheitsthemen im Zusammenhang mit dem Produkt (einschließlich Themen zu und ohne Bezug zu Sicherheitslücken). Sicherheitshinweise (SN) dienen der Veröffentlichung von Informationen zur SSR-Bewertung, beispielsweise in öffentlichen Foren (z. B. Blogs oder Diskussionsforen). Gleichzeitig dienen Sicherheitshinweise (SN) in besonderen Fällen, in denen Sicherheitslücken in Produktversionen in der Öffentlichkeit große Aufmerksamkeit erregen oder das Unternehmen die aktive Ausnutzung von Sicherheitslücken beobachtet hat, als Antwortmethode, um relevanten Kunden die Möglichkeit zu geben, den Fortschritt der Unternehmensmaßnahmen zur Behebung dieser Sicherheitslücken zu verstehen.
• Versions-/Patch-Handbuch: RN (Release Note) mit Informationen zu behobenen Schwachstellen. Als Teil der Begleitdokumente zu Produktversionen/Patch-Releases dient es zur Veranschaulichung von Schwachstellen, die von SSR als mittelschwer und gering eingestuft werden. Damit Kunden die Schwachstellenrisiken von Versionen/Patches aus der jeweiligen Versions-/Patch-Perspektive umfassend bewerten können, enthält das Versions-/Patch-Handbuch (RN) auch Informationen zu Schwachstellen und Patch-Lösungen, die über Sicherheitshinweise (SA) veröffentlicht wurden. Für Private-Cloud-Szenarien enthält die Versionsdokumentation des Unternehmens für Cloud-Service-Produkte die Versionsdokumentation. Für Terminal-Szenarien ist das Unternehmen in den routinemäßigen Patch-Ankündigungen enthalten.

18.5.2 Ankündigungskanal

Das Unternehmen veröffentlicht Sicherheitshinweise (SA) und Sicherheitshinweise (SN), um Kunden beim Erhalt von Informationen zu Sicherheitslücken-Patches zu unterstützen. Das Versions-/Patch-Handbuch (RN) ist Teil der mit der Produktversion/Patch-Veröffentlichung gelieferten Dokumente und kann über den entsprechenden Kanal bezogen werden.

18.5.3 Ankündigungsplan

Wenn eine oder mehrere der folgenden Bedingungen erfüllt sind, stellt das Unternehmen eine SN oder SA aus, um Kunden vor Ort bei der Risikoentscheidung zu unterstützen.

• Der Security Severity Level (SSR) wird als „kritische“ oder „hohe“ Sicherheitslücke definiert. Das Unternehmen führt den Prozess zur Reaktion auf Sicherheitslücken durch und kann Lösungen zum Patchen von Sicherheitslücken bereitstellen, um Kunden bei der Reduzierung von Netzwerkrisiken zu unterstützen.
• Wenn die Sicherheitslücke in der Produktversion möglicherweise große öffentliche Aufmerksamkeit erregt oder das Unternehmen eine aktive Ausnutzung der Sicherheitslücke beobachtet hat, wodurch sich das Risiko für die Kunden erhöhen kann, wird das Unternehmen den Reaktionsprozess beschleunigen und die Kunden innerhalb von 24 Stunden nach Feststellung, dass die oben genannten Bedingungen erfüllt sind, benachrichtigen und den Fortschritt der Reaktion auf die Sicherheitslücke kontinuierlich aktualisieren.
• Um die globalen Cyberrisiken so weit wie möglich zu reduzieren, verfolgt das Unternehmen eine kollaborative Strategie zur Offenlegung von Sicherheitslücken (CVD), um bei der Koordinierung der Offenlegung mit Dritten Ankündigungspläne festzulegen.

18.5.4 Ansagerhythmus

Um Kunden bei der Entwicklung von Patch-Bereitstellungsplänen und der Durchführung von Risikobewertungen besser zu unterstützen, veröffentlicht das Unternehmen SA routinemäßig mittwochs. Gleichzeitig kann das Unternehmen SA außerhalb des Veröffentlichungsplans veröffentlichen. Die folgenden (nicht vollständig aufgeführten) Situationen können zu ungeplanten SA-Veröffentlichungen führen:

• Das Unternehmen hat eine aktive Ausnutzung von Schwachstellen beobachtet.
• Das Unternehmen hat festgestellt, dass die Schwachstellen seiner Produkte in der Öffentlichkeit große Aufmerksamkeit erregen.
• Das Unternehmen arbeitet mit Dritten zusammen, um Schwachstellen offenzulegen.

Hinweis: Bei Cloud-Szenarien verweist das Unternehmen auf die Informationen und Patch-Lösungen im „Cloud Security Whitepaper“. Bei Terminal-Szenarien veröffentlichen Unternehmen Informationen und Patch-Lösungen üblicherweise in regelmäßigen Ankündigungen.

18.5.5 Hinweise zum Bezug von Software-Updates

Das Schwachstellenmanagement basiert auf den Lebenszyklus-Meilensteinen der Produkt-/Softwareversion. PSIRT behebt Schwachstellen in allen Produktversionen vor dem Ende von Service und Support (EOS). Schwachstellen-Patches werden vor dem EOFS (End of Full Support) bereitgestellt, und kritische oder schwerwiegende Schwachstellen in SSR werden nach dem EOFS entsprechend behoben. Das Produktteam kann Meilensteine außerhalb dieser Strategie haben. Für solche Schwachstellenbehebungen sollte die spezifische Produktdokumentation konsultiert werden, um den bereitgestellten Reparatursupport zu verstehen.

Kunden können gemäß Vertrag auf neue Produkt-/Softwareversionen upgraden oder die neuesten Patches installieren, um Sicherheitsrisiken zu minimieren. Kunden können nur Softwareversionen beziehen und nutzen, für die gültige Lizenzen (aktuell aktivierte Lizenzen) erworben wurden. Produkte/Versionen, die Sicherheitslücken schließen, berechtigen Kunden nicht zum Erwerb neuer Softwarelizenzen, anderer Softwarefunktionen/-merkmale oder wichtiger Versions-Upgrades. Kunden können sich an Servicetechniker wenden oder Versionen/Patches beziehen:

Als Endkunde können Sie das Online-Upgrade oder den Zugang nutzen

https://apps.apple.com/us/app/ringconn/id6444470583

Endkunden beachten bitte die Kündigungsrichtlinie für den Lebenszyklus von Enterprise-Produkten (Wartungsjahre) https://de.ringconn.com/policies/terms-of-service. Informieren Sie sich über den detaillierten Inhalt der Behebung von Sicherheitslücken innerhalb des Produktlebenszyklus.

Informationen zu den spezifischen Möglichkeiten zum Patchen von Sicherheitslücken in der Produkt-/Softwareversion finden Sie in der Ankündigung zum Produktlebenszyklus unter https://de.ringconn.com/policies/terms-of-service.

18.5.6 Haftungsausschluss und vorbehaltene Berechtigungen

Sollte dieser Artikel in mehreren Sprachen vorliegen und es Unterschiede zwischen den Sprachen geben, ist die chinesische Version maßgeblich. Die Strategiebeschreibung in diesem Artikel stellt weder eine Garantie noch eine Zusage dar und ist auch nicht Bestandteil eines Vertrags. Die oben genannte Strategie kann nach eigenem Ermessen angepasst werden.

Das Unternehmen behält sich das Recht vor, dieses Dokument jederzeit zu ändern oder zu aktualisieren. Wir werden diese Grundsatzerklärung bei Bedarf aktualisieren, um die Transparenz zu erhöhen oder aktiver zu reagieren, beispielsweise:

• Feedback von Kunden, Aufsichtsbehörden, Branchen oder anderen Interessengruppen.
• Änderungen in der Gesamtstrategie.
• Einführung von Best Practices usw.

Wenn wir Änderungen an dieser Richtlinie vornehmen, überarbeiten wir das „Aktualisierungsdatum“ am Ende dieser Richtlinie.

18.6 Definition

In dieser Strategie werden die folgenden Definitionen verwendet: