Datenschutzerklärung luca App

Zuletzt überarbeitet und aktualisiert am 07. Juli 2022

Wir, die culture4life GmbH („wir“ oder „uns“), sind zur Wahrung Ihrer datenschutzrechtlichen Belange im Zusammenhang mit Ihrer Nutzung unserer Dienste verpflichtet, und sind jederzeit bestrebt, die Sicherheit und Integrität Ihrer personenbezogenen Daten in Übereinstimmung mit dem anwendbarem Datenschutzrecht zu wahren. Insbesondere zur Ermöglichung der in Ziff. 1.2 der Nutzungsbedingungen beschriebenen Funktionalitäten, speichern und verarbeiten wir personenbezogene Daten auf die in dieser Datenschutzerklärung dargestellten Art.

Andere Zwecke sind nur mit der Verarbeitung Ihrer Daten bei dem Besuch unserer Webseite sowie  z.B. im Zusammenhang mit unserem Social Media Auftritt gegeben. Diese Verarbeitungen finden statt um einen sicheren Webauftritt zu gewährleisten, sowie z.B. bei der Bearbeitung Ihrer Anfragen (eben zu Zwecken dieser Bearbeitung). Mehr Informationen dazu finden Sie in den dafür vorgesehenen separaten Datenschutzerklärungen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. So stellen z. B. Ihr Name, Ihre E-Mail-Adresse, aber auch Ihre IP-Adresse personenbezogene Daten dar, für deren Verarbeitung die Datenschutzgrundverordnung (im Folgenden DSGVO) enge Grenzen setzt. Selbst wenn diese Daten, etwa durch Verschlüsselung pseudonymisiert werden (d.h. Ihnen nicht sofort, sondern nur durch eine Kombination von Daten und Schlüsseln zugeordnet werden können), sind diese datenschutzrechtlich ebenso zu schützen. Die Vorgaben der DSGVO zum Umgang mit diesen Daten treffen vor allem den Verantwortlichen, also denjenigen, der die Daten erhebt und verarbeitet. Sofern der Verantwortliche die Daten zur Erbringung einer Leistung an Dienstleister weitergibt, so muss dies Ihnen als Betroffenen gegenüber transparent gemacht werden. Der jeweilige Dienstleister muss dabei an dieselben Standards wie der Verantwortliche gebunden und von diesem kontrolliert werden.

Im Folgenden beschreiben wir konkret, welche Daten wir auf welcher Grundlage und zu welchen Zwecken erheben und verarbeiten, an welche Dienstleister wir diese weitergeben und welche Rechte Ihnen in Bezug auf Ihre Daten zustehen im Zusammenhang mit Ihrer Nutzung der luca App.

A. VERANTWORTLICHER luca System

Der für die Verarbeitung personenbezogener Daten, die von uns direkt erhoben werden, Verantwortliche ist:

culture4life GmbH
Mörikestraße 67
70199 Stuttgart
Deutschland
info@culture4life.de

B. KONTAKTDATEN UNSERES DATENSCHUTZBEAUFTRAGTEN DES VERANTWORTLICHEN

Unsere Datenschutzbeauftragte erreichen Sie an unserem Berliner Standort wie folgt:

culture4life GmbH
Datenschutzbeauftragter
Charlottenstraße 59
10117 Berlin
Deutschland
privacy@culture4life.de

C. DIGITALE KONTAKTNACHVERFOLGUNG

Mit Hilfe Ihrer luca App können Sie ganz einfach Ihre Kontaktdaten bei Ihrem Besuch beispielsweise eines Restaurants zum Zwecke der Kontaktnachverfolung hinterlegen. Diese Daten werden verschlüsselt abgespeichert und können nur durch dezentrale Entschlüsselung von einem Gesundheitsamt abgerufen und in Klarform eingesehen werden. Wir als cuture4life sowie die von Ihnen besuchten Gastronomen:innen, Einzelhandelsgeschäften, Veranstalter:innen und sonstigen Betreiber:innen (im Folgenden insgesamt „Betreiber:innen“) haben zu keinem Zeitpunkt Einsicht auf Ihre Daten in unverschlüsselter Form. 

Durch die verschiedene Akteuer bei der Kontaktnachverfolgung befindet sich auch die Verantwortung der Datenverarbeitung in unterschiedlichen Händen. Wir sind direkt verantwortlich für die Verarbeitung der personenbezogenen Daten, die Sie bei der Registrierung in der luca App eingeben. Uns liegen Ihre personenbezogenen Daten nur in verschlüsselter Form vor.  Ihre Aufenthaltsdaten werden nicht von uns, sondern von den durch Sie besuchten Betreiber:innen erhoben. Dies geschieht, indem diese Ihren QR-Code oder Sie den QR-Code der Betreiber:in scannen. Die Betreiber:in ist für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf und sind durch entsprechende Verträge mit den Betreiber:innen zur Wahrung der Datenschutzanforderungen verpflichtet. 

Wir sind überzeugt, dass die Verschlüsselung zum Schutz Ihrer personenbezogenen Daten beiträgt, da diese somit nur durch Sie und bei Bedarf durch das zuständige Gesundheitsamt in ihrer Klarform einsehbar sind. Im Folgenden beschreiben wir konkret, welche Daten wir auf welcher Grundlage und zu welchen Zwecken erheben und verarbeiten, an welche Dienstleister wir diese weitergeben und welche Rechte Ihnen in Bezug auf Ihre Daten zustehen. 

 

1. Datenkategorien

Wir verarbeiten folgende Kategorien von Daten, welche notwendig sind, um eine Kontaktnachverfolgung nach den im Zusammenhang mit der Bekämpfung von COVID-Infektionen erlassenen Verordnungen der Länder zu gewährleisten bzw. zu erleichtern:

  • Kontaktdaten: Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse.
  • Funktionale Daten: Datenzuordnungs-IDs, Schlüssel und QR-Codes.
  • Aufenthaltsdaten: Name bzw. Bezeichnung der Betreiber:innen, bei denen Sie sich aufgehalten haben, Datum, Beginn und Ende Ihres Aufenthalts sowie Adresse Ihres Aufenthaltsorts.
  • Zusätzliche Eingabedaten: Sonstige Informationen, die eine Betreiber:in durch Eingabefelder in unseren Diensten eintragen kann und die sich jeweils auf Ihren Aufenthalt beziehen, wie z. B. Tisch- und/oder Raumnummer.
  • Temporäre Nutzungsdaten: Daten, die bei der Nutzung der luca App anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Endgeräts, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform.

 

2. Prozessbeschreibung

Die luca App ist der meistgenutzte luca Dienst. Sie finden diese in allen gängigen App Stores und können Sie bequem auf Ihrem Smartphone installieren und nutzen. Nach Eingabe Ihrer Kontaktdaten und erfolgreicher Verifizierung Ihrer Telefonnummer wird für Sie ein individueller Schlüssel generiert. Dieser wird zur Verschlüsselung Ihrer Kontaktdaten verwendet. Dieser Schlüssel verbleibt bis zu Ihrem ersten Check-In ausschließlich auf Ihrem eigenen Smartphone. Die verschlüsselten Daten werden an das luca-System übertragen und auf den Servern unserer Dienstleister (siehe Abschnitt 5.) innerhalb des EU-Raums gespeichert.

Erfassung der Daten zu Beginn Ihres Aufenthalts: Nun können Sie sich bei Ihren Lieblings-Lokalitäten einchecken. Dabei wird der Zeitraum Ihres Aufenthalts bei einer Betreiber:in durch Scannen des QR-Codes erfasst. In diesem Zusammenhang wird Ihr persönlicher Schlüssel (mit dem Ihre Kontaktdaten im Zuge der Registrierung verschlüsselt wurden) mit dem Schlüssel der Gesundheitsämter verschlüsselt. Die Betreiber:in verschlüsselt mit ihrem eigenen Schlüssel wiederum diese Daten. Ihre Kontaktdaten sind somit mit Ihrem Nutzer-Schlüssel verschlüsselt und dieser Schlüssel wird bei jedem Check-In sowohl durch das Gesundheitsamt als auch durch die Betreiber:innen verschlüsselt und damit in zweifach verschlüsselter Form im luca System abgelegt. Weder die Betreiber:innen noch wir können die verschlüsselten Daten in ihrer Klarform einsehen und Ihnen als Person zuordnen. Lediglich das zuständige Gesundheitsamt wird im Nachverfolgungsfall in der Lage sein, die Daten zu entschlüsseln. Sofern Sie sich dafür entscheiden, den QR-Code der Betreiber:in zu scannen, ist das Einschalten der Kamera Ihres Smartphones erforderlich. Gespeichert wird nur die Aufnahme des QR-Codes. Die verschlüsselten Daten werden an das luca-System übertragen und auf den Servern unserer Dienstleister (siehe Abschnitt 5.) innerhalb des EU-Raums gespeichert.

Die Betreiber:in ist für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf.

Erfassung der Daten bei Beendigung Ihres Aufenthalts: Nachdem Sie sich erfolgreich eingecheckt haben und den Aufenthalt beenden möchten, können Sie sich auf unterschiedliche Weise in der App auschecken. Sie können sich in Ihrer App manuell auschecken oder den automatischen Check-Out verwenden. Für den automatischen Check-Out wird die Geo-Fencing-Funktion verwendet. Beim Geo-Fencing wird der durch die Betreiber:in angegebene Bereich mit Ihrem Standort abgeglichen. Sobald Sie diesen verlassen, wird der Check-Out automatisch durchgeführt und der Zeitpunkt des Verlassens erhoben. Die Nutzung dieser Funktion erfordert das Einschalten der GPS-Funktion in Ihren Smartphone-Einstellungen. Möchten Sie das Geo-Fencing nicht mehr nutzen, können Sie jederzeit den automatischen Check-Out in Ihrer luca App wieder deaktivieren oder die GPS-Funktion in Ihren Smartphone-Einstellungen ausschalten. Falls Sie den Check-Out vergessen, hat die Betreiber:in die Möglichkeit, Sie auszuchecken.

Erfassung der Daten bei privaten Veranstaltungen: Sie können ebenfalls eigene private Veranstaltungen erstellen und bei solchen einchecken, etwa wenn Sie eine Geburtstagsfeier zu Hause veranstalten. Beim Einchecken bei solchen privaten Veranstaltungen erhält die private Gastgeber:in Ihren Vor- und Nachnamen. Sie sehen zwar diesen Aufenthaltsort in Ihrer Historie, solche privaten Ereignisse werden aber nicht mit dem Gesundheitsamt geteilt.

Optionales Teilen der Historie mit dem zuständigen Gesundheitsamt im Falle einer Infektion: Kontaktiert Sie ein Gesundheitsamt und bittet Sie um Mitteilung Ihrer letzten Aufenthalte, können Sie dies bequem über Ihre luca App durchführen. Hierfür wählen Sie die Funktion „Historie freigeben“ und wählen die Anzahl der Tage aus, die Sie übermitteln möchten (maximal 14 Tage). Sodann generieren Sie eine sogenannte TAN (d.h. eine Transaktionsnummer, die zur Autorisierung verwendet wird und nur zur einmaligen Verwendung gültig ist). Hierbei werden Ihre Aufenthaltsdaten der ausgewählten Tage und Ihr persönlicher Schlüssel an das Gesundheitsamt übertragen. All diese Daten werden für die Übertragung mit dem Gesundheitsamt-Schlüssel verschlüsselt. Sobald Sie dem Gesundheitsamt Ihre TAN nennen, kann dieses Datenpaket durch das Gesundheitsamt zugeordnet und daraufhin entschlüsselt werden.

Dies geschieht ausdrücklich durch Ihre Einwilligung und aktives Zutun durch Mitteilen der TAN. Nach Mitteilung Ihrer TAN geht der Widerruf dieser Einwilligung (sehen Sie hierzu auch unten Abschnitt D.) ins Leere, weil das Gesundheitsamt nach Abruf der Daten Verantwortlicher für die weitere Verarbeitung ist und auf gesetzlicher Grundlage handelt.

Übermittlung der Kontaktnachverfolgungsdaten durch die Betreiber:innen an das zuständige Gesundheitsamt: Das Gesundheitsamt kann auf Basis Ihrer Historie die betroffenen Betreiber:innen zuordnen und kontaktieren, um zu erfahren, welche weiteren Personen sich zum betreffenden Zeitpunkt ebenfalls in der Lokation (d.h. im räumlichen Bereich der Betreiber:in) aufgehalten haben. Die Betreiber:in kann dann über ihr luca Profil die angefragten Daten an das Gesundheitsamt übermitteln. Da die Daten zweifach verschlüsselt sind (mit dem Betreiber:in- und dem Gesundheitsamt-Schlüssel), wird bei Teilen der Daten die Betreiber:in-Verschlüsselung aufgehoben. Das Gesundheitsamt erhält die immer noch mit dem Gesundheitsamt-Schlüssel verschlüsselten Daten und kann diese entschlüsseln. Damit kann nur ein Gesundheitsamt die Klardaten einsehen. Die Betreiber:in ist für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf.

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

Bei der Übertragung Ihrer Besuchshistorie (wie in der Prozessbeschreibung dargestellt) an ein Gesundheitsamt liegt eine erhöhte Wahrscheinlichkeit vor, dass Sie infiziert sind oder aufgrund eines möglichen Kontaktes zu einer infizierten Person nachverfolgt werden. Da dies ggf. Rückschlüsse über Ihre Gesundheit zulassen kann, handelt es sich um ein Gesundheitsdatum i.S.d. Art. 9 DSGVO. Eine Zuordnung dieses Gesundheitsdatums zu Ihnen als Person kann aufgrund der Verschlüsselung nur das Gesundheitsamt, dem Sie die TAN mitgeteilt haben, erfolgen. Auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO überträgt luca Ihr verschlüsseltes Objekt. Dieses kann nur von einem Gesundheitsamt entschlüsselt werden.

Weitere sensible Daten (z. B. politische Meinungen, Religionszugehörigkeit, genetische oder biometrische Informationen) werden von uns grundsätzlich nicht verarbeitet. Wir bitten Sie, uns keine derartigen Daten durch unsere Dienste oder im Zusammenhang mit diesen offenzulegen.

 

4. Zwecke und Rechtsgrundlagen der Verarbeitungen

Wir werden Ihre personenbezogenen Daten nur zweckgebunden entsprechend den aufgeführten Rechtsgrundlagen verarbeiten. Nachfolgend werden jeweils Verarbeitungen in Bezug auf den jeweiligen Hauptzweck beschrieben und die jeweiligen Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten genannt.

Im Folgenden sind Verarbeitungen sowie deren Zwecke und Rechtsgrundlagen dargestellt, welche der Unterstützung der Kontaktnachverfolgung dienen.

Ziff.Verarbeitung und ZweckRechtsgrundlageVerantwortlicher
(1)Bei Registrierung erheben und speichern wir Ihre Kontaktdaten sowie Funktionalen Daten, um eine Nutzung der Dienste unserer App gewährleisten zu können. Diese Dienste beinhalten eine einmalige Erhebung, um einen schnellen und einfachen Check-In bei einer Betreiber:in zu ermöglichen.Art. 6 (1) 1 b) DSGVO:

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca Dienste

culture4life GmbH (wir)
(2)Bei der Registrierung verifizieren wir Ihre Telefonnummer durch automatisierten SMS-Versand oder Anruf. Auf diese Weise kann eine Kontaktaufnahme durch das Gesundheitsamt zur richtigen Person sichergestellt werden.Art. 6 (1) 1 b) DSGVO:

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca Dienste

culture4life GmbH (wir)
(3)Wenn Sie bei einer Betreiber:in einchecken, erhebt diese mittels luca Ihre Aufenthaltsdaten sowie ggf. Zusätzliche Eingabedaten. Letztere werden nach dem Check-In optional erhoben und bei einer Anfrage eines Gesundheitsamts mit diesem geteilt, unter der Voraussetzung, dass sich die Betreiber:in dafür entscheidet.Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei zur Kontaktnachverfolgung Verpflichteten ist dies die gesetzliche Grundlage (Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i. V. m. § 28a Abs. 1 Nr. 17, Abs. 4 Satz 1 IfSG i. V. m. den Länderregelungen nach § 32 IfSG). Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung (Art. 6 (1) 1 a) DSGVO).Betreiber:innen

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns.

(4)Sofern Sie selbst den QR-Code der Betreiber:in scannen (das Vorhalten der Smartphonekamera über den QR-Code) möchten, um den Check-In durchzuführen, erfolgt dies unter Nutzung Ihrer Kamera. Nur der QR-Code wird dabei eingelesen. Im Umfeld befindliche Daten werden nicht erfasst.

Dies dient dem Zweck sich bei einer Betreiber:in einzuchecken.

Art. 6 (1) 1 a) DSGVO:

Einwilligung durch Einschalten der Kamerafunktion, ggf. nach Aufforderung in der App.

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Kamera-Funktion ausschalten. (siehe auch Teil C. 7..)

Betreiber:innen

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns.

(5)Zugleich werden bei Ihrem Check-In Ihre Funktionalen Daten an Betreiber:innen übermittelt, um die Verknüpfung zwischen Ihnen und Ihrem Aufenthalt zu erstellenArt. 6 (1) 1 b) DSGVO:

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App

culture4life GmbH (wir)
(6)Sie können sich freiwillig dafür entscheiden, dass Ihr 2G/ 3G Status bei einem Check-In mit den Einlassbestimmungen des Standortes abgeglichen wird. In Ihrer App wird angezeigt, ob Sie die Einlassbestimmungen erfüllen.Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch Aktivieren der 2G / 3G FunktionBetreiber:innen

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns.

(7)Den Check-Out können Sie manuell in Ihrer App durchführen. Zudem kann Sie die Betreiber:in auschecken.

Dies dient dem Zweck der Ermittlung des Zeitraums Ihres Aufenthaltes

Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei zur Kontaktnachverfolgung Verpflichteten ist dies die gesetzliche Grundlage (Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i. V. m. § 28a Abs. 1, Abs. 4 Satz 5 IfSG). Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung (Art. 6 (1) 1 a) DSGVO).Betreiber:innen

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns.

(8)Bei vielen Lokationen können Sie alternativ zum manuellen Check-Out auch das Geo-Fencing nutzen. Hierfür nutzen Sie die Ortungsdienste Ihres Smartphones. Nur die Information, zu welchem Zeitpunkt Sie den Radius der Lokation der Betreiber:in verlassen, wird gespeichert.

Dies dient dem Zweck der Ermittlung des Zeitraums Ihres Aufenthaltes.

Art. 6 (1) 1 a) DSGVO:

Einwilligung durch Einschalten der Ortungsdienste, ggf. nach Aufforderung in der App.

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie die Funktion des automatischen Check-Outs oder Ihre Ortungsdienste-Funktion ausschalten. (siehe auch Abschnitt C. 7.)

Betreiber:innen

Wir verarbeiten die Daten auf Basis des Auf-tragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns.

(9)Ihre Aufenthaltsdaten stehen Ihnen zur Ansicht in Klarform innerhalb der Historie in der App zur Verfügung. Der Zweck dahinter ist Ihnen jederzeit zu ermöglichen die Richtigkeit Ihres Aufenthalts zu kontrollieren und Ihnen die Auskunft der noch gespeicherten Aufenthaltsdaten zur Verfügung zu stellen.Art. 6 (1) 1 b) DSGVO:

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App

culture4life GmbH (wir)
(10)Bei Registrierung sowie Nutzung der luca App werden Temporäre Nutzungsdaten erhoben und gespeichert. Zweck ist die Gewährleistung der Sicherheit des luca Systems und damit die Gewährleistung der Leistungserbringung an Sie.Art. 6 (1) 1 b) DSGVO:

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App

culture4life GmbH (wir)
(11)Sofern sich ein Gesundheitsamt mit der Bitte um das Teilen Ihrer Besuchshistorie bei Ihnen meldet, können Sie dies freiwillig über die luca App durchführen. Dann werden Ihre Kontaktdaten, Funktionalen Daten sowie die Aufenthaltsdaten für den ausgewählten Zeitraum zum Zwecke der digitalen Kontaktnachverfolgung an das jeweilige Gesundheitsamt übermittelt.Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO:

Ausdrückliche Einwilligung, weil wir auf Ihren Wunsch hin ein Gesundheitsdatum an ein Gesundheitsamt übertragen sollen(siehe auch Abschnitt C. 3.)

culture4life GmbH (wir)
(12)Eine durch Sie aufgesuchte Betreiber:in kann um Übermittlung der Besucherdaten für einen bestimmten Zeitraum von einem Gesundheitsamt angefragt werden. Dabei werden Ihre Kontaktdaten, Funktionalen Daten, Aufenthaltsdaten und ggf. Zusätzliche Eingabedaten (soweit sich die Betreiber:in für die Erhebung und Übermittlung dieser entscheidet) zum Zwecke der digitalen Kontaktnachverfolgung an das Gesundheitsamt übermittelt. Die Übermittlung erfolgt sofern Betreiber und Gesundheitsamt die Entschlüsselung der Daten vollziehen.Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei zur Kontaktnachverfolgung Verpflichteten ist dies die gesetzliche Grundlage (Art. 6 Abs. 1 Satz 1 lit. c DS-GVO i. V. m. § 28a Abs. 1 Nr. 17, Abs. 4 Satz 1 IfSG i. V. m. den Länderregelungen nach § 32 IfSG). Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung (Art. 6 (1) 1 a) DSGVO).Betreiber:innen

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns.

 

5. Empfänger:innen personenbezogener Daten

Um die zuvor in dieser Datenschutzerklärung beschriebenen Zwecke zu erreichen, geben wir Ihre personenbezogenen Daten an folgende Empfänger:innen weiter, mit der Maßgabe, dass diese Daten in keiner anderen Weise als zur Erbringung von Dienstleistungen für uns verwenden dürfen (als sogenannte Auftragsverarbeiter im Sinne des Art. 28 DSGVO):

Durch Anbieter:innen erbrachte LeistungenAnbieter:innenVerarbeitete Daten
Softwareentwicklung, Softwarewartungs- und SoftwarebetriebsleistungenneXenio GmbH, Charlottenstr. 59, 10117 BerlinKontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten, Temporäre Nutzungsdaten.

(Die Verarbeitung beschränkt sich auf eine mögliche Einsichtnahme in die gelisteten Daten im Rahmen der Durchführung der Softwarewartungs- und Softwarebetriebsdienstleistungen)

IT-Infrastrukturleistungen (Server)Deutsche Telekom AG, Landgrabenweg 151, 53227 Bonn

 

Kontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten, Temporäre Nutzungsdaten.

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

IT-InfrastrukturleistungenBundesdruckerei Gruppe GmbH, Kommandantenstraße 18, 10969 Berlin

 

Kontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten, Temporäre Nutzungsdaten.

Server-Standort: Deutschland

SMS-VersandleistungenMessage Mobile GmbH, Stresemannstraße 6, 21335 LüneburgTelefonnummer
SMS-VersandleistungenSinch Germany GmbH, Wilhelm-Wagenfeld-Str. 20, 80807 MünchenTelefonnummer

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. Wir geben Ihre personenbezogenen Daten an folgende Empfänger:innen weiter:

  • Betreiber:innen, mit denen wir kooperieren und deren Lokationen Sie unter Nutzung der luca App aufgesucht haben,
  • Gesundheitsämter, denen Sie Ihre Besuchshistorie aus der luca App freigeben bzw. falls Sie als potenzielle Kontaktperson zu einer infizierten Person qualifiziert werden, um u. a. die Kontaktnachverfolgung nach den im Zusammenhang mit der Bekämpfung von COVID-Infektionen erlassenen Verordnungen der Länder zu ermöglichen.

 

6. Dauer der Speicherung personenbezogener Daten

Ihre personenbezogenen Daten werden nach Ablauf der nachfolgend beschriebenen Fristen automatisch gelöscht:

  • Kontaktdaten und Funktionale Daten:
    • Innerhalb der luca App finden Sie einen sogenannten Löschbutton. Mit diesem können Sie die vollständige Löschung Ihrer Kontaktdaten und Funktionalen Daten aus dem luca System eigenständig durchführen. Nach Betätigen des Löschbuttons verbleiben Ihre Daten noch 28 Tagen in dem luca-System.
    • Bei Deinstallation der luca App wird Ihr in der App hinterlegter Nutzer-Schlüssel gelöscht. Ohne diesen Schlüssel können Ihre Kontaktdaten nicht mehr genutzt, zugeordnet und entschlüsselt werden. Ohne eine vorherige Löschung durch den Löschbutton verbleiben Ihre verschlüsselten Kontaktdaten bis zur jährlichen Löschung auf dem luca Server.
    • Ihre Kontaktdaten werden bei anhaltender Inaktivität jährlich im luca System gelöscht. Wird die luca App nach jährlicher Löschung der Daten auf den Servern wieder zum Check-In verwendet, werden die noch auf dem Smartphone gespeicherten Kontaktdaten erneut innerhalb des luca Systems verschlüsselt abgelegt.
    • Ihre Funktionalen Daten, die durch das Einchecken bei einer Betreiber:in verschlüsselt hinterlegt wurden, werden automatisch nach 28 Tagen gelöscht.
    • Nach eigenständiger Löschung durch Betätigung des Löschbuttons, Deinstallation der App oder andauernder Inaktivität können Ihre Daten noch bis zu 4 Wochen nach Ihrem letzten Aufenthalt bei einer Betreiber:in an ein Gesundheitsamt übermittelt werden, sodass Sie ggf. von einem Gesundheitsamt kontaktiert werden können. Dies ist notwendig, um einer etwaigen gesetzlichen Anforderung der Kontaktnachverfolgung durch Bereitstellen der Aufenthaltsdaten und damit auch der Kontaktdaten der letzten 28 Tage durch Betreiber:innen gerecht zu werden.
  • Aufenthaltsdaten und Zusätzliche Eingabedaten: Ihre Aufenthaltsdaten und Eingabedaten, die durch bzw. im Zusammenhang mit dem Einchecken bei einer Betreiber:in generiert werden, werden gemäß den Corona/COVID Infektionsschutzverordnungen nach 28 Tagen gelöscht.
  • Zusätzlich zur Verifikation verarbeitete Telefonnummer: Ihre Telefonnummer wird von unseren Unterauftragnehmern Message Mobile GmbH und der Deutsche Telekom AG ausschließlich zur Verifizierung verarbeitet. Diese wird bis zu 45 Tagen in deren Produktivdatenbanken, bzw. bis zu 60 Tagen in deren Archivdatenbanken gespeichert. Eine darüberhinausgehende Speicherung erfolgt nicht.
  • Temporäre Nutzungsdaten: Ihre Temporären Nutzungsdaten werden in Logfiles verarbeitet. Diese werden von uns für maximal 7 Tage gespeichert und anschließend automatisch gelöscht. Eine darüberhinausgehende Speicherung findet nicht statt.

 

7. Rechte der betroffenen Personen

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte, die Sie für alle Verarbeitungen, für die wir verantwortlich sind (s. Teil C. 4.), uns gegenüber geltend machen können:

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten: Wir speichern Ihre Daten ausschließlich verschlüsselt und besitzen selbst nicht die zur Entschlüsselung notwendigen Schlüssel. Daher können wir nicht nachverfolgen, ob personenbezogene Daten einer bestimmten Person im luca System verarbeitet werden. Anders als wir selbst, können Sie in der eigenen Historie und den eigenen Kontaktdaten alle via luca App erhobenen und verschlüsselt gespeicherten Daten einsehen. Innerhalb der App haben Sie ebenfalls die Möglichkeit Ihre bei uns gespeicherten Daten herunterzuladen, indem Sie den Auskunftsbutton bedienen.
  • Das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen, sofern diese unrichtig oder unvollständig sind (Art. 16 DSGVO). Sie können ausschließlich selbst ihre Kontaktdaten (bis auf die Historie) in der luca App berichtigen. Wir erfüllen dieses Recht bereits durch die bereitgestellten Funktionalitäten. Zur Ausübung müssen Sie nur in den entsprechenden Bereich innerhalb der luca App gehen und die Korrektur/ Änderung vornehmen. Ihre Aufenthaltsdaten dürfen um die rechtlichen Anforderungen der Länderverordnungen zur Bekämpfung von Covid-Infektionen nicht berechtigt werden. Eine solche Korrektur ist aufgrund der Verschlüsselung ebenfalls nicht durchführbar.
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Diesem Recht kommen wir durch die Bereitstellung eines Löschbuttons nach. Über diesen können Sie die Löschung Ihrer Daten durchführen, wobei die Löschung innerhalb der in Abschnitt C. 6. beschriebenen Fristen erfolgt. Wir selbst können dies aufgrund der Verschlüsselung nicht für Sie ausführen.
  • Das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO). Auch dieses Recht können wir aufgrund der Verschlüsselung und da uns selbst die zur Entschlüsselung notwendigen Schlüssel nicht vorliegen, nicht erfüllen.
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung (für das Teilen Ihrer Historie mit dem Gesundheitsamt, für das Erheben der Daten mittels Geo-Fencing sowie bei der Nutzung Ihrer Kamera) jederzeit zu widerrufen. Dies geschieht für die Zukunft durch Änderungen Ihrer Einstellungen. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist. Bitte beachten Sie, dass bei Widerruf die verschlüsselten Daten aufgrund der Verschlüsselung Ihnen nicht zugeordnet und daher bis zu ihrer automatischen Löschung nicht von einer Verarbeitung ausgeschlossen werden können. Bitte beachten Sie, dass wir Ihre personenbezogenen Daten grundsätzlich nicht in Form von Klardaten, sondern verschlüsselt verarbeiten, und wir daher in bestimmten Fällen nicht in der Lage sein werden, einer entsprechenden Aufforderung durch Sie zur Gewährung der vorgenannten Rechte nachzukommen.

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unsere Datenschutzbeauftragte, unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit einzulegen:

Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, Tel.: 030/13889-0, E-Mail: mailbox@datenschutz-berlin.de.

 

D. HINTERLEGUNG EINES TEST-, IMPF- oder GENESENENNACHWEISES

Die Luca App bietet Ihnen die Möglichkeit, Ihr Test-, Genesenen- und Impfzertifkat in Ihrer luca App zu hinterlegen. Das Zertifkat ist nur lokal auf Ihrem eigenen Smartphone gespeichert.  

 

1. Datenkategorien

Sofern Sie die Funktion zur Hinterlegung Ihres Testergebnisses, Impf- oder Genesenenausweises nutzen, erheben wir zudem auf Basis Ihrer Einwilligung folgende Daten:

  • Testergebnis-/ Genesenen-/ Impfdokument: Vor- und Nachname sowie Geburtsdatum, Infektionsstatus, die Kennnummer Ihres Dokuments sowie zusätzlich:
    1. Bei dem Testergebnis: Typ des Tests (PCR oder Antigentest), Angaben zum Testhersteller, zur Teststelle sowie zur Ausgabestelle des Zertifikats, Test- und Ausstellungszeitpunkt
    2. Bei dem Genesenenausweis: Datum der Positivtestung, Angaben zur Herausgabestelle, Gültigkeitszeitraum
    3. Bei dem Impfausweis: Datum der Impfung, Anzahl der Impfungen, Angaben zum Impfstoff (Krankheit, Hersteller, Produkt), Angaben zur Herausgabestelle
  • Temporäre Nutzungsdaten: Daten, die bei der Nutzung der luca App anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Endgeräts, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform.

Die Information wird mittels des QR-Codes oder einer Verlinkung in dem jeweiligen Dokument lokal in der luca App auf Ihrem Endgerät abgelegt. Die dabei erstellte oder aus dem Dokument übernommene pseudonymisierte Kennung wird an das luca System übertragen.

 

2. Prozessbeschreibung

Die luca App bietet Ihnen eine Möglichkeit, ein Testergebnis bzw. einen Impf- oder Genesenenausweis (im Folgenden „Dokument“) in der luca App zu speichern und bei Bedarf autorisierten Stellen vorzuzeigen. Dies beruht nicht mehr auf dem Zweck der Unterstützung der Kontaktnachverfolgung und dient Ihnen lediglich als eine Art Wallet (einheitlicher Ablageort). Sie können dann bei Ihrem Check-In direkt in der luca App auch auf das ggf. für den Zutritt erforderliche Dokument zugreifen. Das jeweilige Dokument wird weder an die Betreiber:in noch an das Gesundheitsamt übermittelt. Das Dokument verbleibt ausschließlich in Ihrer luca App und wird nicht von uns auf dem Server hinterlegt. Wir haben somit keinen Zugriff auf Ihre in diesem Zusammenhang abgelegten Daten. Um ein Dokument einzupflegen, können Sie dies über den QR-Code oder den von der ausgebenden Stelle bereitgestellten Link auf Ihrem Testergebnis oder digitalen Genesenen-/ Impfausweis durchführen. Sofern Sie sich für die Nutzung dieser Funktion entscheiden, ist ggf. das Einschalten der Kamera Ihres Smartphones erforderlich, um den QR-Code zu scannen. Das negative Testergebnis bzw. der Genesenen- oder Impfstatus wird lokal auf Ihrem Endgerät in der luca App validiert und gespeichert. Die Validierung erfolgt durch den Abgleich des Vor- und Nachnamens mit den in der App hinterlegten Daten lokal auf Ihrem Endgerät. Ebenfalls wird die Gültigkeit, die in dem QR-Code enthaltenen elektronischen Signatur sowie die Echtheit des Dokuments überprüft. Zur Vorbeugung von Missbrauch, sodass das Dokument nicht mehrfach von unterschiedlichen Personen in der luca App hinterlegt werden kann, wird von Ihrer luca App eine pseudonymisierte Kennung erstellt und an das luca System übertragen. Nur diese Kennung wird im luca System gespeichert. Diese können wir Ihnen nicht zuordnen. Jedes Dokument kann zeitgleich nur einmal hinterlegt werden. Somit ist eine Verwendung desselben Dokuments auf mehreren Endgeräten nicht möglich.

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

Sofern Sie sich für das Hinterlegen Ihres COVID-Testergebnisses oder des digitalen Genesenen- oder Impfausweises in der luca App entscheiden, erfolgt dies ebenfalls gemäß Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO nur auf Grundlage Ihrer ausdrücklichen Einwilligung. Die Prozessbeschreibung finden Sie unter Abschnitt C 1. b).

Weitere sensible Daten (z. B. politische Meinungen, Religionszugehörigkeit, genetische oder biometrische Informationen) werden von uns grundsätzlich nicht verarbeitet. Wir bitten Sie, uns keine derartigen Daten durch unsere Dienste oder im Zusammenhang mit diesen offenzulegen.

 

4. Zwecke und Rechtsgrundlagen der Verarbeitungen

Im Folgenden sind Verarbeitungen sowie deren ergänzende Zwecke und Rechtsgrundlagen dargestellt, welche dem Zweck der einfachen und lokalen Hinterlegung und Speicherung eines Testergebnisses, eines Impf- oder Genesenausweises (im Folgenden „Dokument“) dient. Dieses Dokument können Sie bei Bedarf autorisierten Stellen vorzeigen.

Ziff.Verarbeitung und ZweckRechtsgrundlageVerantwortlicher
(1)Möchten Sie Ihr Dokument in der luca App auf Ihrem Smartphone hinterlegen, werden die Daten der Testergebnis-/ Genesenen-/ Impfdokumente lokal an Ihr Smartphone übermittelt.

Dies dient dem Zwecke der Hinterlegung des Dokuments, sodass dieses nach Wunsch vorgezeigt werden kann.

Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch das Einfügen des Dokuments.

 

culture4life GmbH (wir)
(2)Sofern Sie Ihr Dokument per Scannen des QR-Codes (das Vorhalten der Smartphone-Kamera über den QR-Code) in der luca App hinterlegen wollen, ist das Einschalten Ihrer Kamera notwendig. Nur der QR-Code wird dabei eingelesen. Im Umfeld befindliche Daten werden nicht erfasst.

Dies dient dem Zwecke der Hinterlegung des Dokuments, sodass dieses nach Wunsch vorgezeigt werden kann.

Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO:

Einwilligung durch Einschalten der Kamerafunktion, ggf. nach Aufforderung in der App.

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Kamera- Funktion ausschalten. (siehe auch Teil D. 7.)

culture4life GmbH (wir)
(3)Nach dem Einfügen des Dokuments in Ihrer luca App, gleicht Ihre App den Vor- und Nachnamen von dem Dokument mit Ihren Eingaben in der luca App ab. Dies erfolgt ausschließlich lokal auf Ihrem Endgerät und dient der Zuordnung zu Ihrer Person.Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch das Einfügen des Dokuments.

 

culture4life GmbH (wir)
(4)

 

Zur Vorbeugung von Missbrauch, sodass das Dokument nicht mehrfach von unterschiedlichen Personen in der luca App hinterlegt werden kann, wird von Ihrer luca App eine pseudonymisierte Kennung erstellt und an das luca System übertragen und dort gespeichert.Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch das Einfügen des Dokuments.

 

culture4life GmbH (wir)

 

 

5. Empfänger:innen personenbezogener Daten

Durch Anbieter:innen erbrachte LeistungenAnbieter:innenVerarbeitete Daten
Softwareentwicklung, Softwarewartungs- und SoftwarebetriebsleistungenneXenio GmbH, Charlottenstr. 59, 10117 BerlinTemporäre Nutzungsdaten, Kennung der Testergebnis-, Genesenen- oder Impfdokumente

 

(Die Verarbeitung beschränkt sich auf eine mögliche Einsichtnahme in die gelisteten Daten im Rahmen der Durchführung der Softwarewartungs- und Softwarebetriebsdienstleistungen)

IT-Infrastrukturleistungen (Server)Deutsche Telekom AG, Landgrabenweg 151, 53227 Bonn

 

Temporäre Nutzungsdaten, Kennung der Testergebnis-, Genesenen- oder Impfdokumente

 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können.

 

6. Dauer der Speicherung personenbezogener Daten

Ein lokal in der luca App hinterlegter Antigen-/ PCR-Test wird automatisch nach 48 (Antigentest)/ 72 (PCR-Test) Stunden gelöscht. Alle lokal hinterlegten Dokumente werden automatisch gelöscht, sobald die Gültigkeit des Dokuments überschritten wird. Sie können Ihr COVID-Testergebnis, den Genesenen- oder Impfstatus ebenfalls jederzeit innerhalb Ihrer App manuell löschen.

Die pseudonymisierte Kennung des Dokuments wird automatisch nach 72 Stunden aus dem luca System gelöscht. Die Kennung des jeweiligen Dokuments dient ausschließlich der Vorbeugung von Missbrauch, sodass das jeweilige Dokument nicht mehrfach ggf. von unterschiedlichen Personen in der luca App hinterlegt werden kann.

 

7. Rechte der betroffenen Personen

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte, die Sie für alle Verarbeitungen, für die wir verantwortlich sind (s. Teil D. 4.), uns gegenüber geltend machen können:

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten: Ihr Dokument wird nur lokal bei Ihnen auf dem Endgerät gespeichert. Wir verfügen nur über die Kennung, die zu Zwecken des Vorbeugens von Missbrauch an uns übermittelt wird. Diese Kennung können wir Ihnen nicht zuordnen. Innerhalb der App haben Sie die Möglichkeit die in Ihrer App lokal hinterlegten Daten indem Sie den Auskunftsbutton bedienen.
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Sie können Ihr Dokument jederzeit manuell aus der App entfernen, wodurch auch die Kennung aus dem luca System entfernt wird. Die Kennung wird automatisch 72 Stunden nach Erhebung aus unserem System gelöscht.
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung (für den Abgleich Ihres Vor- und Nachnamens sowie der Erstellung und Nutzung der Kennung des Dokuments) jederzeit zu widerrufen. Dies geschieht für die Zukunft durch Löschen der fotografierten/gescannten COVID-Testergebnisse bzw. der Genesenen- oder Impfausweise. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist.

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unsere Datenschutzbeauftragte, unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit einzulegen:

Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, Tel.: 030/13889-0, E-Mail: mailbox@datenschutz-berlin.de.

 

E. KOMMUNIKATION MIT IHREM GESUNDHEITSAMT – LUCA CONNECT

Die luca App bietet Ihnen die Möglichkeit, mit dem für Sie zuständigen Gesundheitsamt zu kommunizieren. Sofern Sie diese Funktion nutzen, kann das Gesundheitsamt Sie z.B. bei einer positiven Testung auf COVID-19 schnell über die luca App erreichen.

 

1. Datenkategorien

Sofern Sie nach Artikel Art. 9 (2) a) in Verbindung mit Art. 6 (1) 1 a) DSGVO ausdrücklich eingewilligt und mit Ihrem zuständigen Gesundheitsamt Ihren Impf- oder Genesenenausweis sowie Ihre bereits in der luca App hinterlegten Kontaktdaten geteilt haben, kann das Gesundheitsamt Sie über das luca System kontaktieren und Ihnen Nachrichten senden.

Folgende Daten werden auf Basis Ihrer Einwilligung mit Ihrem Gesundheitsamt geteilt:

  • Kontaktdaten: Vor- und Nachnamen, Adresse, Telefonnummer und E-Mail-Adresse
  • Genesenen-/ Impfzertifikat: Vor- und Nachname sowie Geburtsdatum, Infektionsstatus, die Kennnummer Ihres Dokuments, Datum der Positivtestung, Datum der Impfung, Anzahl der Impfungen, Angaben zum Impfstoff (Krankheit, Hersteller, Produkt) und Angaben zur Herausgabestelle

Bei Nutzung diese Features werden Temporäre Nutzungsdaten erhoben: Daten, die bei der Nutzung der luca App anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Endgeräts, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform. Eine Übermittlung dieser an die Gesundheitsämter findet nicht statt.

 

2. Prozessbeschreibung

Die luca App bietet Ihnen eine Möglichkeit, Ihre Kontaktdaten und Informationen über Ihr Genesenen-/ Impfausweis mit dem für Sie zuständigen Gesundheitsamt zu teilen. Basierend auf Ihrer eigegebenen Postleitzahl wird das für Sie zuständige Gesundheitsamt ermittelt.

Sofern Sie sich für die Nutzung dieser Funktion entscheiden, werden diese Daten mit dem spezifischen Schlüssel Ihres zuständigen Gesundheitsamtes verschlüsselt und auf dem luca Server abgelegt. Nun kann Ihr zuständiges Gesundheitsamt Sie im luca System suchen. Dabei wird der vom Gesundheitsamt eingegebene Vor- und Nachname mit Ihren hochgeladenen Daten abgeglichen und die entsprechenden Daten dem Gesundheitsamt angezeigt. Mittels Ihrer weiteren Angaben, die unter anderem in Ihrem Impf- oder Genesenenzertifkat (z.B. Geburtsdatum) und in Ihren Kontaktdaten (Adresse, Telefonnummer, E-Mail-Adresse) hinterlegt sind, kann das Gesundheitsamt Sie als Person identifizieren und beispielsweise eine Mittteilung des DEMIS Systems (Deutsches Elektronisches Melde- und Informationssystem für den Infektionsschutz) Ihnen als luca Nutzer zuordnen. Die Informationen über Ihren Genesenen- und Impfstatus ermöglicht es dem Gesundheitsamt weitere Risikoeinschätzungen vorzunehmen.

Basierend auf Ihrer Einwilligung, dem Gesundheitsamt Ihre Daten zur Verfügung zu stellen sowie von diesem über die luca App informiert zu werden, kann das Gesundheitsamt nach Identifizierung Ihrer Person Ihnen eine persönliche Nachricht über Ihre luca App zukommen lassen. Dadurch können Sie beispielsweise auf Grund einer positiven Testung schnell kontaktiert und gewarnt werden.

Sie können Ihre Einwilligung jederzeit widerrufen. Mit dem Widerruf werden Ihre dem Gesundheitsamt geteilten Daten automatisch gelöscht, jedoch spätestens mit Ablauf von 7 Tagen nach Inaktivität der App.

 

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

Sofern Sie sich für das Übermitteln Ihres digitalen Genesenen- oder Impfausweises in der luca App entscheiden, erfolgt dies ebenfalls gemäß Art. 9 (2) a) i.V.m. Art. 6 (1) 1 a) DSGVO nur auf Grundlage Ihrer ausdrücklichen Einwilligung. Die Prozessbeschreibung finden Sie unter Abschnitt E.2.

 

4. Zwecke und Rechtsgrundlagen der Verarbeitungen

Im Folgenden sind Verarbeitungen sowie deren ergänzende Zwecke und Rechtsgrundlagen dargestellt, welche dem Zweck der Kommunikation mit Ihrem Gesundheitsamt sowie verbunden hiermit dem Teilen der in Abschnitt E.1. benannten Daten dient.

Ziff.Verarbeitung und ZweckRechtsgrundlageVerantwortlicher
(1)Möchten Sie von Ihrem Gesundheitsamt über das luca System gefunden und über die luca App von diesem kontaktiert werden, werden Ihre hinterlegten Daten Ihres Impf- oder Genesenennachweises sowie Ihre Kontaktdaten verarbeitet.

Die Verarbeitung dieser Daten ist notwendig, damit das Gesundheitsamt Sie als Person identifizieren und Ihnen als Person (und keiner anderen) Nachrichten zukommen lassen kann.

Art. 9 (2) a) i.V.m. Art. 6 (1) 1 a) DSGVO (ausdrückliche Einwilligung)Gesundheitsamt

Wir verarbeiten diese Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen dem be-treffenden Gesundheitsamt und uns.

(2)

 

Haben Sie Ihre Daten freigegeben, kann Ihr Gesundheitsamt bei Bedarf Sie im luca System suchen. Die Suche basiert auf Ihrem Vor- und Nachnamen, ergänzend auf Ihren Kontaktdaten sowie hinterlegten Daten Ihres Impf-/ Genesenenausweises.Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO (ausdrückliche Einwilligung)Gesundheitsamt

Wir verarbeiten diese Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen dem be-treffenden Gesundheitsamt und uns.

(3)Das Gesundheitsamt kann Ihnen eine persönliche Nachricht in dem luca System hinterlassen. Ihre App prüft, ob eine Nachricht für Sie abgelegt wurde und zeigt Ihnen diese an.Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO (ausdrückliche Einwilligung)Gesundheitsamt

Wir verarbeiten diese Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen dem be-treffenden Gesundheitsamt und uns.

 

5. Empfänger:innen personenbezogener Daten

Ihre Daten werden in Verantwortung Ihres Gesundheitsamtes erhoben und verarbeitet. Das Gesundheitsamt nutzt für die Datenverarbeitung das luca System. Zwischen den Gesundheitsämtern und uns, der cultrue4life GmbH, wurden gemäß Art. 28 DSGVO Auftragsverarbeitungsverträge geschlossen, sodass nur zweckgebunden und auf Weisung des Gesundheitsamtes Ihre Daten verarbeiten werden können. Folge Unterauftragnehmer der cultre4life GmbH wurde beauftragt:

Durch Anbieter:innen erbrachte LeistungenAnbieter:innenVerarbeitete Daten
Softwareentwicklung, Softwarewartungs- und SoftwarebetriebsleistungenneXenio GmbH, Charlottenstr. 59, 10117 BerlinTemporäre Nutzungsdaten, Kontaktdaten, Genesenen- oder Impfdokumente

 

(Die Verarbeitung beschränkt sich auf eine mögliche Einsichtnahme in die gelisteten Daten im Rahmen der Durchführung der Softwarewartungs- und Softwarebetriebsdienstleistungen)

IT-Infrastrukturleistungen (Server)Deutsche Telekom AG, Landgrabenweg 151, 53227 Bonn

 

Temporäre Nutzungsdaten, Kontaktdaten, Genesenen- oder Impfdokumente

 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

 

6. Dauer der Speicherung personenbezogener Daten

Sie können Ihre gegeben Einwilligungen innerhalb Ihrer luca App prüfen und jederzeit widerrufen. Durch einen Widerruf wird automatisch die Löschung Ihrer zu den genannten Zwecken erhoben Daten ausgeführt. Löschen Sie Ihre App mittels des in der App zur Verfügung gestellten Löschbuttons, wird die Löschung ausgeführt. Sobald Sie Ihren Vor-, Nachnamen oder die Postleitzahl in Ihren Kontaktdaten in Ihrer luca App ändern, werden die nicht mehr aktuellen Daten ebenfalls gelöscht. Bei Deinstallation der App oder Inaktivität werden die Daten nach Ablauf von 7 Tagen automatisch aus dem luca System entfernt.

7. Rechte der betroffenen Personen

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte, die Sie für alle Verarbeitungen, für die wir verantwortlich sind (s. Teil E. 4.), uns gegenüber geltend machen können:

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten: Ihre Daten liegen nur verschlüsselt auf dem luca Server. Wir als culture4life und Betreiber des luca Systems können diese Daten nicht entschlüsseln und Ihrer Person zuordnen.
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Sie können jederzeit Ihre Einwilligung über die Funktionalitäten (unter „Account“) Ihrer luca App widerrufen. Die Löschung erfolgt nach Widerruf automatisch, spätestens nach Ablauf von 7 Tagen bei Inaktivität der luca App.
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung jederzeit zu widerrufen. Dies geschieht für die Zukunft durch die bereitgestellten Funktionalitäten in Ihrer luca App. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist.

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unsere Datenschutzbeauftragte, unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit einzulegen:

Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, Tel.: 030/13889-0, E-Mail: mailbox@datenschutz-berlin.de.

 

F. IDENTITÄTSNACHWEIS – LUCA ID

Die luca App bietet Ihnen die Möglichkeit, ein Ausweisdokument zu nutzen um einen Identitätsnachweis in Ihrer luca App zu hinterlegen. So können Sie beispielsweise bei einem Besuch in einem luca Standort sich über luca authentifizieren und so Ihre Identität Ihres Impf-, Genesenen- oder Testzertifikates nachweisen. 

 

1. Datenkategorien 

Sofern Sie nach Artikel Art. 6 (1) 1 a) DSGVO ausdrücklich eingewilligt und einen Identitätsnachwis in Ihrer luca App hinterlegen werden folgende Daten verarbeitet und ggf. bei Besuch einer Veranstaltung oder eines Restaurants mit der Betreiber:in geteilt:   

  • Vor- und Nachname 
  • Daten, die Ihr Ausweisdokument enthalten und von unserem Auftragsverarbeiter verarbeitet werden: Fotos und Aufnahmen Ihrer Person und der verwendeten Ausweisdokumente sowie alle personenbezogenen Daten, die auf dem Ausweisdokument enthalten sind (Nummer des Dokuments, Vorname, Nachname, Adresse, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Gültigkeitsdatum) 
  • Signierte Daten: Kennnummer, Ihr Identitätsnachweis und dessen Daten (Zugang nur über das Entsperren Ihres Telefons durch Face ID, Fingerabdruck oder Passwort), sowie zusätzlich Ihren Vor-, Nachnamen und Ihr Geburtsdatum 
  • Funktionale Daten: Datenzuordnungs-IDs, Schlüssel und QR-Codes. 

Bei Nutzung diese Features werden Temporäre Nutzungsdaten erhoben:  

Daten, die bei der Nutzung der luca App anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Endgeräts, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform. Eine Übermittlung dieser an die Gesundheitsämter findet nicht statt. 

2. Prozessbeschreibung 

Die luca App bietet Ihnen eine Möglichkeit, ein Ausweisdokument zu nutzen, um in der luca App einen digitalen Identitätsnachweis zu hinterlegen. Die Funktionalität ist nur für Endgeräte mit aktivierter Sicherheitsfunktion und sicherer Anmeldung, mittels bspw. Face ID, Fingerabdrucksensor oder Passwort, freigeschaltet. 

Sofern Sie sich für die Nutzung dieser Funktion entscheiden, wird Ihnen ein Code bzw. Link angezeigt, denn Sie wiederrum in der IDnow-App eingeben bzw. direkt klicken können. Sie werden anschließen zur Installation der IDnow App aufgefordert, um danach mittels des Codes den Identifikationsprozess zu starten. Für die Identitätsverifizierung benötigt IDnow nun ein Foto der Vorder- und Rückseite Ihres Ausweisdokumentes sowie ein Foto von Ihnen.  

Nach erfolgreich Identifizierung schickt IDnow verschlüsselt Ihr signiertes Datenobjekt an das luca System zurück. Das luca System übergibt nun dieses Ihrer eigenen App. Eine Speicherung der Daten Ihres Ausweisdokumentes im luca System findet nach der erfolgreichen Übertragung nicht statt. Ihre signiertes Datenobjekt ist so verschlüsselt, dass nur Ihre eigene App die Daten entschlüsseln können. Das luca System kann Ihre Daten nicht entschlüsseln.  

Bei Übermittlung des signierten Datenobjektes, wird Ihnen ebenfalls ein Sperrcode angezeigt. Bei Missbrauch oder Verlust Ihres Telefons können Sie diesen uns zukommen lassen. Wir sperren daraufhin Ihren Identitätsnachweis für das luca System.  

Sobald Ihr Identitätsnachweis auf Ihrem Endgerät entschlüsselt und in Ihrer App hinterlegt wurde, können Sie basierend auf Ihrer Einwilligung bei Besuch eines Standortes (Restaurant, Veranstaltung), die Identität Ihres ebenfalls in der App hinterlegtes Impf-/ Genesenen- oder Testzertifikat bestätigen. Ihre luca ID wird in der luca App angezeigt und es kann ein QR-Code zum Nachweis angezeigt werden. Dieser QR Code kann von einer luca Location eingescannt werden. Dabei wird der von IDnow signierte Vor- und Nachnamen sowie Ihr Geburtstag an die Betreiber:in mittels des luca Systems übermittelt. Eine Speicherung Ihrer Daten findet nicht statt.  

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihren lokal in der App hinterlegten Identitätsnachweis manuell aus der App löschen, den Löschbutton der App bedienen oder die App auf Ihrem Endgerät deinstallieren.  

 

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO 

Sofern Sie sich für das Hinterlegen Ihres Identitätsnachweise in der luca App entscheiden, erfolgt dies ebenfalls gemäß Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO nur auf Grundlage Ihrer ausdrücklichen Einwilligung. Die Prozessbeschreibung finden Sie unter Abschnitt F.2. 

 

4. Zwecke und Rechtsgrundlagen der Verarbeitungen  

Im Folgenden sind Verarbeitungen sowie deren Zwecke und Rechtsgrundlagen dargestellt, welche dem Zweck der Hinterlegung des Identitätsnachweises sowie Vorzeigen Ihrer Identität bei einer Betreiber:in verbunden hiermit dem Teilen der in Abschnitt F.1. benannten Daten dient.  

Ziff. Verarbeitung und Zweck Rechtsgrundlage Verantwortlicher 
(1) Sofern Sie Ihren Identitätsnachweis hinterlegen wollen, tauscht Ihre luca App mit unserem Unterauftragnehmer (IDnow) zunächst Ihren Vor- und Nachnamen aus. Ihr Vor- und Nachname wird von IDnow mit den Daten Ihres Ausweisdokumentes (nach Übermittlung) abgeglichen.  Art. 6 (1) 1 a) DSGVO (Einwilligung) culture4life GmbH (wir) 
(2) Im Anschluss nutzen Sie die IDnow App, um Aufnahmen Ihrer Person und Ihres Ausweisdokumentes hochzuladen. IDnow verifiziert nun Ihren Ausweisdokument: 

Aus den von Ihnen erstellten Bildern Ihres Ausweisdokumentes werden die Daten elektronisch ausgelesen und es wird Ihr Portraitbild mit den Bildern Ihres Ausweisdokumentes abgeglichen (Gesichtsabgleich). 

Nach erfolgreicher Identifizierung übermittelt IDnow Ihre verschlüsseltes Datenobjekt (Signierte Daten) über das luca System an Ihre luca App. 

Art. 9 (2) a) i.V.m. Art. 6 (1) 1 a) DSGVO (ausdrückliche Einwilligung) culture4life GmbH (wir) 
(3) Im Rahmen eines Identifizierungs-Vorgangs in der IDnow-App benötigt IDnow den Zugriff auf das Mikrofon und die Kamera. Dies beinhaltet auch den Zugriff auf das Kameralicht, das aktiviert wird, um die Hologramme auf den Ausweisdokumenten besser sichtbar zu machen.  

Die Prüfung und Aufnahmen dieser Sicherheitsmerkmale ist aufgrund der regulatorischen Vorgaben für eine erfolgreiche Identifizierung zwingend notwendig und vorgeschrieben.  

Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO:  

Jeder Nutzer wird vor dem eigentlichen Identifizierungs-Vorgang darauf hingewiesen, dass die App Zugriff auf das Mikrophon und die Kamera braucht und er muss beides explizit freigeben. 

 

 

culture4life GmbH (wir) 
(4) Beim Besuch einer Veranstaltung oder eines Restaurants können Sie Ihren QR-Code vorzeigen und von der Betreiber:in einscannen lassen. Der Betreiber:in wird dabei Ihr Vor- /Nachname und Ihr Geburtsdatum Ihrer Signierten Daten angezeigt. Diese kann beispielsweise nun Ihre Identität mit der Ihres Impf-/ Genesenen- oder Testzertifikates abgleichen. Eine Speicherung der Daten erfolgt nicht. Art. 6 (1) 1 a) DSGVO (Einwilligung) culture4life GmbH (wir) 

 

5. Empfänger:innen personenbezogener Daten 

 

Durch Anbieter:innen erbrachte Leistungen Anbieter:innen Verarbeitete Daten 
Identitätsverifizierungen 

 

IDnow GmbH, Auenstr. 100,  

80469 München 

 

 

Vor- und Nachnamen,  

Daten Ihres Ausweisdokumentes, Signierte Daten, 

Funktionale Daten 

 

Die geltenden Datenschutzbestimmungen von IDnow können unter https://go.idnow.de/privacy/de abgerufen werden. Die Speicherdauer Ihrer an IDnow übermittelten Daten entnehmen Sie F.6. 

 

Server-Standort: Deutschland 

Softwareentwicklung, Softwarewartungs- und Softwarebetriebsleistungen neXenio GmbH, Charlottenstr. 59, 10117 Berlin Vor- und Nachnamen, Daten Ihres Ausweisdokumentes, Signierte Daten, Funktionale Daten, Temporäre Nutzungsdaten 

 

(Die Verarbeitung beschränkt sich auf den verschlüsselten Transfer der gelisteten Daten im Rahmen der Durchführung der Softwarebetriebsdienstleistungen) 

 

IT-Infrastrukturleistungen (Server) Deutsche Telekom AG, Landgrabenweg 151, 53227 Bonn 

 

Vor-. Nachnamen, Daten Ihres Ausweisdokumentes, Signierte Daten, Funktionale Daten, Temporäre Nutzungsdaten 

 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. 

 

6. Dauer der Speicherung personenbezogener Daten 

Ein lokal in der luca App hinterlegter Identitätsnachweis kann jederzeit manuell in Ihrer App gelöscht werden. Löschen Sie Ihre App mittels des in der App zur Verfügung gestellten Löschbuttons und/oder deinstallieren die App auf Ihrem Endgerät, wird Ihr hinterlegter Identitätsnachweis automatisch von Ihrem Endgerät entfernt.  

Nach erfolgreicher Verifizierung werden Ihre Signierten Daten verschlüsselt über das luca System an Ihre App übertragen. Ihre Daten, die Sie an unseren Auftragsverarbeiter IDnow zum Zwecke der Identifizierung übermittelt haben, werden nach Identifizierung Ihrer Person automatisch, maximal nach 7 Tagen Stunden gelöscht. Das luca System sowie unser Auftragsnehmer IDnow speichert Ihre Signierten Daten nur so lange bis das Datenobjekt erfolgreich an Ihre App übertragen wurde. Zur Vorbeugung von Missbrauch wird die Kennung Ihres verschlüsselten Datenobjektes im luca System gespeichert. Nur diese Kennung wird im luca System gespeichert. Diese können wir Ihnen nur durch Mitteilung Ihres Sperrcodes zuordnen. 

Ein nicht erfolgreicher Identifizierungsversuch wird automatisch nach maximal 48 Stunden aus allen Systemen entfernt. 

 

7. Rechte der betroffenen Personen 

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte, die Sie für alle Verarbeitungen, für die wir verantwortlich sind (s. Teil F. 4.), uns gegenüber geltend machen können: 

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten: Ihre Daten werden nur verschlüsselt über das luca System verarbeitet. Wir als culture4life und Betreiber des luca Systems können diese Daten nicht entschlüsseln und Ihrer Person zuordnen. Innerhalb der App haben Sie die Möglichkeit die von Ihrer App erhobenen und verarbeiteten Daten einzusehen, indem Sie den Auskunftsbutton („Daten anfragen“) bedienen. Innerhalb Ihrer App (sowie in ihrer Auskunft können Sie Ihren IDnow-Identcode sowie den Sperrcode einsehen. Mit Hilfe dieser Codes können wir für Sie ermitteln, ob Ihre personenbezogenen Daten bei unserem Auftragsnehmer Idnow vorliegen. 
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Sie können Ihr Dokument jederzeit manuell aus der App entfernen. Automatisch folgt die Löschung bei Nutzung des Löschbuttons („Account löschen“) und Deinstallation der App.  
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung (für den Abgleich Ihres Vor- und Nachnamens, Verifizierung des Ausweisdokumentes) jederzeit zu widerrufen. Dies geschieht für die Zukunft durch Löschen des hinterlegten Identitätsnachweises oder Abbrechen des Identifizierungsversuches. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist.  

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unsere Datenschutzbeauftragte, unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden. 

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit einzulegen: 

Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, Tel.: 030/13889-0, E-Mail: mailbox@datenschutz-berlin.de. 

 

G. LUCA PAY

Die luca App bietet Ihnen die Möglichkeit in verschiedenen Locations in Zusammenarbeit mit dem Zahlungsdienstleister Rapyd Europe digital zu bezahlen, Trinkgelder zu geben, Ihr Zahlungsmittel für wiederholte Zahlungsvorgänge in luca zu speichern und eine Übersicht Ihrer vergangenen Zahlungen anzuzeigen.  

 

1. Datenkategorien 

Sofern Sie über das luca System eine Zahlung durchführen möchten und/oder Ihr Zahlungsmittel speichern möchten, werden folgende Daten verarbeitet und ggf. beim Bezahlvorgang mit der Betreiber:in und mit dem eingesetzten Zahlungsdienstleister geteilt:   

  • Nutzerkennung: Nutzer-ID  
  • Zahlungsmittelinformationen: Bank- und Rechnungskontodaten, Kreditkarteninformationen, Name der Karteninhabers:in  
  • Informationen über die Transaktion mit der Betreiber:in: Transaktion-ID, Uhrzeit, Datum der Transaktion, Rechnungsbetrag, Name bzw. Bezeichnung der Betreiber:innen 

Bei Nutzung dieser Features werden Temporäre Nutzungsdaten erhoben:
Daten, die bei der Nutzung der luca App anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Endgeräts, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform. 

 

2. Prozessbeschreibung

Beschreibung des Bezahlvorgangs 

Bei Ihrem Besuch eines Restaurants oder Veranstaltung (Betreiber:in) können Sie sich entscheiden, die Rechnung mittels luca Pay zu begleichen. Die Betreiber:in stellt Ihnen einen QR Code zur Verfügung, der beispielsweise an einem Tisch platziert ist und den offenen Rechnungsbetrag Ihrer Bestellung enthält.  

Nach dem Scannen des QR Codes wird ihnen innerhalb Ihrer luca App (alternativ auf der luca Webseite) die von der Betreiber:in hinterlegten Informationen zu Ihrer Rechnung angezeigt. Sie können entweder den offenen Betrag des Tisches sehen oder selbst einen Betrag auswählen. Zusätzlich können Sie hier noch ein Trickgeld in gewünschter Höhe vergeben.  

Durch Bestätigung der Rechnungssumme und des Trinkgeldes werden Sie zu dem Zahlungsdienstleister Rapyd Europe automatisch weitergeleitet. Dort sehen Sie erneut zur Kontrolle den Zahlungsbetrag und Empfänger.  Ihnen stehen u.a. Masterkarte, Visakarte und ApplePay als Zahlungsmittel zur Verfügung. Nach Auswahl können Sie Ihre Zahlungsmittelinformationen eingeben. Durch eine abschließende Bestätigung Ihrerseits wird Ihre Zahlung in eigener datenschutzrechtlicher Verantwortung der Betreiber:in über den Zahlungsdienst Rapyd Europe ausgeführt. Bei Zahlung werden Informationen über die Transaktion mit der Betreiber:in gespeichert. 

Speicherung Ihrer Zahlungsmittelinformationen für erneute Zahlungstransaktionen 

Um nicht erneut bei Zahlungen Ihre Zahlungsmittelinformationen einzugeben, bietet Ihnen luca die Möglichkeit diese beim Zahlungsdienstleister Rapyd Europe in datenschutzrechtlicher Verantwortung von luca zu speichern. Dabei erstellt das luca System eine individuelle Nutzerkennung (Nutzer-ID). Nachdem dies erfolgt ist, werden bei Ihrer nächsten Zahlung die Zahlungsmittelinformationen wie beschreiben erhoben und zusätzlich mit Ihrer Nutzerkennung verknüpft.  

Bei erneuten Zahlungsvorgängen (Scannen von QR Codes) werden Ihre Zahlungsmittelinformationen nicht erneut erhoben. Sie greifen stattdessen auf die bereits hinterlegten Daten zurück und werden dementsprechend nicht erneut zur Webseite von Rapyd Europe weitergeleitet. Nun ordnet luca bei Zahlungswunsch Ihre hinterlegten Zahlungsmittelinformationen auf der Basis Ihrer Nutzerkennung dem Zahlungsprozess zu.  

Der nachfolgende Prozessablauf bleibt unverändert (wie oben beschrieben). Die Betreiber:in  veranlasst und verantwortet datenschutzrechtlich weiterhin den Zahlungsprozess. Die Verarbeitung und Weitergabe Ihrer Zahlungsmittelinformationen geschieht in datenschutzrechtlicher Verantwortung von luca und basiert auf Ihrer Einwilligung nach Art. 6 (1) 1 a) DSGVO. 

Darstellung der Zahlungshistorie 

Bei Speicherung Ihrer Zahlungsmittelinformationen stellt Ihnen luca eine Auflistung (“Zahlungshistorie) Ihrer vollzogenen Zahlungen zur Einsicht bereit. In dieser können die Informationen über Ihre Transaktionen mit den Betreiber:innen einsehen.  

 

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

Es werden keine Daten der besonderen Kategorien im Sinne des Art. 9 DSGVO verarbeitet. 

 

4. Zwecke und Rechtsgrundlagen der Verarbeitungen

Im Folgenden sind Verarbeitungen sowie deren Zwecke und Rechtsgrundlagen dargestellt, welche dem Zwecke einer einmaligen Zahlungstransaktion verbunden mit der Verarbeitung der in Abschnitt G.1 benannten Daten dient. Ergänzend können Zahlungsmittelinformationen gespeichert werden, um erneute Zahlungstransaktionen schneller auszuführen.  

 

Bezahlvorgang:

Ziff.Verarbeitung und ZweckRechtsgrundlageVerantwortlicher
(1)Sofern Sie den QR-Code der Betreiber:in scannen (das Vorhalten der Smartphonekamera über den QR-Code) möchten, um die Zahlung durchzuführen, erfolgt dies unter Nutzung Ihrer Kamera. Nur der QR-Code wird dabei eingelesen. Im Umfeld befindliche Daten werden nicht erfasst. Art. 6 (1) 1 a) DSGVO: 

Einwilligung durch Einschalten der Kamerafunktion, ggf. nach Aufforderung in der App. 

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Kamera-Funktion ausschalten. 

Betreiber:innen 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

(2)

 

Wenn Sie eine Zahlung tätigen möchten und den Zahlungsvorgang in Ihrer App gestartet haben (durch Scannen des QR Codes), werden Ihre Zahlungsmittelinformationen bei unserem Zahlungsdienstleister Rapyd Europe hinterlegt. Dies geschieht zum Zwecke der Zahlungsdurchführung. Art. 6 (1) 1 b) DSGVO in Verbindung mit Art. 49 (1.) 1. b und c (Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge Betreiber:innen 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

(3)Bei dem Zahlungsvorgang werden Informationen über die Transaktion mit der Betreiber:in gespeichert. Diese dient dem Zweck der Nachvollziehbarkeit und wird für die Zuordnung der Zahlung zu Ihrer Rechnung benötigt.  Art. 6 (1) 1 b) DSGVO in Verbindung mit Art. 49 (1.) 1. b und c (Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge Betreiber:innen 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

Zusätzliche Verarbeitungen bei Zwischenspeicherung Ihrer Zahlungsinformationen:

Ziff.Verarbeitung und ZweckRechtsgrundlageVerantwortlicher
(1)Wenn Sie Ihr Zahlungsmittel wiederverwenden wollen, können Sie sich bei luca Pay registrieren. Dabei wird eine Nutzerkennung erstellt.  Art. 6 (1) 1 a) DSGVO in Verbindung mit Art. 49 (1) 1. a) (ausdrückliche Einwilligung)  

Sie können die Einwilligung jederzeit widerrufen. (siehe auch Teil F. 8.) 

culture4life GmbH (wir) 
(2)

 

Bei der nächsten Zahlung geben Sie Ihre Zahlungsmittelinformationen ein. Diese werden nun mit Ihrer Nutzerkennung verknüpft. Somit können Sie Ihre  Zahlungsmittelinformationen bei zukünftigen Zahlung wieder verwenden. Art. 6 (1) 1 a) DSGVO in Verbindung mit Art. 49 (1) 1. a) (ausdrückliche Einwilligung)  

Sie können die Einwilligung jederzeit widerrufen. (siehe auch Teil F. 8.) 

culture4life GmbH (wir) 
(3)Um eine Zahlung auszuführen, ordnet luca Ihre Zahlungsmittelinformationen mittels Ihrer Nutzerkennung dem Zahlungsprozess zu. Art. 6 (1) 1 a) DSGVO in Verbindung mit Art. 49 (1) 1. a) (ausdrückliche Einwilligung) 

Sie können die Einwilligung jederzeit widerrufen. (siehe auch Teil F. 8.) 

culture4life GmbH (wir) 
(4)

 

Die Betreiber:in kann nun Ihre Zahlung entgegennehmen und Ihre Rechnung wird beglichen. Bei diesem Zahlungsvorgang werden Informationen über die Transaktion mit der Betreiber:in gespeichert. Diese dient dem Zweck der Nachvollziehbarkeit und wird für die Zuordnung der Zahlung zu Ihrer Rechnung benötigt. Art. 6 (1) 1 b) DSGVO in Verbindung mit Art. 49 (1.) 1. b und c (Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

(5)

 

Ihre Transaktion steht Ihnen zur Ansicht innerhalb Ihrer eigenen Historie in der App zur Verfügung. Der Zweck dahinter ist Ihnen jederzeit zu ermöglichen die Richtigkeit Ihrer Zahlung zu kontrollieren und Ihnen eine Auskunft zur Verfügung zu stellen. Art. 6 (1) 1 a) DSGVO in Verbindung mit Art. 49 (1) 1. a) (ausdrückliche Einwilligung)  

Sie können die Einwilligung jederzeit widerrufen. (siehe auch Teil F. 8.) 

culture4life GmbH (wir) 

 

5. Empfänger:innen personenbezogener Daten

Durch Anbieter:innen erbrachte LeistungenAnbieter:innenVerarbeitete Daten
Durchführung von Zahlungen und zugehörigen Services Rapyd Europe hf., Suðurlandsbraut 30, 108 Reykjavík, Island Nutzerkennung, Zahlungsmittelinformationen, Informationen über die Transaktion mit der Betreiber:in, temporäre Nutzungsdaten (in eigener Verantwortung von Rapyd) 

Die geltenden Datenschutzbestimmungen von Rapyd Europe und können unter https://www.rapyd.net/privacypolicy/ abgerufen werden. Die Speicherdauer Ihrer an Rapyd übermittelten Daten entnehmen Sie F.7. 

Softwareentwicklung, Softwarewartungs- und SoftwarebetriebsleistungenneXenio GmbH, Charlottenstr. 59, 10117 BerlinNutzerkennung, Informationen über die Transaktion mit der Betreiber:in, temporäre Nutzungsdaten 
IT-Infrastrukturleistungen (Server)Deutsche Telekom AG, Landgrabenweg 151, 53227 Bonn

 

Nutzerkennung, Informationen über die Transaktion mit der Betreiber:in, temporäre Nutzungsdaten 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. 

 

6. Datenübermittlung in Drittländer 

Durch die Zusammenarbeit mit dem Zahlungsdienstleister Rapyd Europe, welcher zu einer internationalen Unternehmensgruppe (Rapyd Financial Network (2016) Ltd.) gehört, werden Ihre personenbezogenen Daten (Nutzerkennung, Zahlungsmittelinformationen, Informationen über die Transaktion mit der Betreiber:in) im Rahmen der Ausübung der Zahlungsdienstleistung unter anderem auch von Dritten verarbeitet. Diese Dritte sind gegebenenfalls in anderen Ländern als Sie sowie außerhalb des Europäischen Wirtschaftsraums (EWR) und der Schweiz ansässig. In diesen Ländern ist nicht immer ein gleichwertiger Datenschutz gegeben. In Übereinstimmung mit dem Datenschutzrecht für den EWR hat Rapyd Europe konkrete Maßnahmen getroffen, um den Schutz Ihrer personenbezogenen Daten zu gewährleisten. Insbesondere finden bei der Übermittlung Ihrer personenbezogenen Daten innerhalb von Unternehmen, die mit Rapyd verbunden sind, die von den zuständigen Aufsichtsbehörden genehmigten aktuellen Standardvertragsklauseln Anwendung. Die Unternehmensgruppe Rapyd Financial Network (2016) Ltd. ist gemäß dem PCI-DSS 2.0 (Payment Card Industry Data Security Standard) zertifiziert. Wenden Sie sich an Rapyd Europe (privacy@rapyd.net), wenn Sie weitere Informationen wünschen. 

7. Dauer der Speicherung personenbezogener Daten

Ihre personenbezogenen Daten werden nach Ablauf der nachfolgend beschriebenen Fristen automatisch gelöscht: 

  • Ihre Nutzerkennung wird mit Bedienen des Löschbuttons innerhalb Ihrer App oder durch Widerruf (siehe auch G.8) gelöscht. Bei Inaktivität (beispielsweise durch vorherige Deinstallation der App ohne explizite Löschung durch den Löschbutton) kann die Nutzererkennung bis zu maximal 1 Jahr in dem luca System verbleiben.  
  • Zahlungsmittelinformationen und Informationen über die Transaktion mit der Betreiber:in werden von dem Zahlungsdienstleister Rapyd gemäß bankaufsichtsrechtlicher Regulatorik bis zu 10 Jahren gespeichert.  
  • Ihre in der luca App lokal hinterlegte Zahlungshistorie (erstellt durch die erhobenen Informationen über die Transaktion mit der Betreiber:in) wird Ihnen zur Einsicht für 1 Jahr vorgehalten und anschließend automatisch gelöscht. 
  • Temporäre Nutzungsdaten: Ihre Temporären Nutzungsdaten, die bei Nutzung der luca App erhoben werden, werden von uns in Logfiles verarbeitet. Diese werden für maximal 7 Tage gespeichert und anschließend automatisch gelöscht. Temporären Nutzungsdaten, die bei Nutzung der Webseite von Rapyd Europe erhoben werden, können in Rapyd Europe’s eigener Verantwortung bis zu einem Jahr gespeichert werden.  

 

8. Rechte der betroffenen Personen

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte, die Sie für alle Verarbeitungen, für die wir verantwortlich sind (s. Teil F. 4.), uns gegenüber geltend machen können: 

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten: 
  • Innerhalb der App haben Sie die Möglichkeit die von Ihrer App erhobenen und verarbeiteten Daten einzusehen, indem Sie den Auskunftsbutton („Daten anfragen“) bedienen. Die Zahlungshistorie liegt nur lokal in Ihrer eigenen luca App ab. Innerhalb Ihrer Auskunft ist Ihre Nutzerkennung benannt. Teilen Sie uns diese mit, können wir als culture4life Ihre Daten bei Rapyd Europe recherchieren und Ihnen darüber Auskunft geben. 
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Sie können der Speicherung Ihrer Zahlungsmittelinformationen für erneute Zahlungstransaktionen jederzeit innerhalb der luca App widerrufen. Automatisch folgt die Löschung der Nutzerkennung sowie der lokal in der luca App hinterlegten Zahlungshistorie bei Nutzung des Löschbuttons („Account löschen“) oder nach Ablauf der unter Abschnitt G.7 benannten Löschfristen.  
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung für die Speicherung Ihrer Zahlungsmittelinformationen jederzeit zu widerrufen. Dies geschieht für die Zukunft durch Löschung der Zahlungsdaten. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist.  

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unsere Datenschutzbeauftragte, unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit einzulegen:

Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, Tel.: 030/13889-0, E-Mail: mailbox@datenschutz-berlin.de.

H. VERSION

Dies ist die aktuelle Fassung unserer Datenschutzerklärung (gültig ab dem 07.07.2022). Wir behalten uns vor, diese Datenschutzerklärung anzupassen (insbesondere im Falle von Änderungen der Rechtslage oder Änderungen unserer Dienste). Aus diesem Grund empfiehlt es sich diese Datenschutzerklärung in regelmäßigen Abständen abzurufen.