Datenschutzerklärung luca Kontaktformular

Zuletzt überarbeitet und aktualisiert am 08. Juli 2021

Wir, die culture4life GmbH („wir“ oder „uns“), sind zur Wahrung Ihrer datenschutzrechtlichen Belange im Zusammenhang mit Ihrer Nutzung unserer Dienste verpflichtet, und sind jederzeit bestrebt, die Sicherheit und Integrität Ihrer personenbezogenen Daten in Übereinstimmung mit dem anwendbarem Datenschutzrecht zu wahren. Hierfür verpflichten wir uns, Ihre personenbezogenen Daten ausschließlich zum Zwecke der Unterstützung bei der Kontaktnachverfolgung bzw. des Nachweises eines Testergebnisses, Impf- oder Genesenenausweises im Rahmen der Bekämpfung der COVID-Pandemie zu verarbeiten und nicht zu anderen Zwecken zu nutzen oder weiterzugeben. Andere Zwecke sind nur mit der Verarbeitung Ihrer Daten bei dem Besuch unserer Webseite gegeben, um einen sicheren Webauftritt zu gewährleisten, sowie bei der Bearbeitung Ihrer Anfragen (eben zu Zwecken dieser Bearbeitung). Diese geben wir im Folgenden explizit an.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. So stellen Ihr Name, Ihre E-Mail-Adresse, Ihre Aufenthaltsdaten, aber auch Ihre IP-Adresse personenbezogene Daten dar, für deren Verarbeitung die Datenschutzgrundverordnung (im Folgenden DSGVO) enge Grenzen setzt. Selbst wenn diese Daten, etwa durch Verschlüsselung pseudonymisiert werden (d.h. Ihnen nicht sofort, sondern nur durch eine Kombination von Daten und Schlüsseln zugeordnet werden können), sind diese datenschutzrechtlich ebenso zu schützen und wie Klardaten zu behandeln. Die Vorgaben der DSGVO zum Umgang mit diesen Daten treffen vor allem den Verantwortlichen, also denjenigen, der die Daten erhebt und verarbeitet. Sofern der Verantwortliche die Daten zur Erbringung einer Leistung an Dienstleister weitergibt, so muss dies Ihnen als Betroffenen gegenüber transparent gemacht werden. Der jeweilige Dienstleister muss dabei an dieselben Standards wie der Verantwortliche gebunden und von diesem kontrolliert werden.

Das Kontaktformular zur digitalen Kontaktdatennachverfolgung wird Ihnen von den durch Sie besuchten Gastronomen:innen, Einzelhandelsgeschäften, Veranstalter:innen und sonstigen Betreiber:innen (im Folgenden insgesamt „Betreiber:innen“) bereit gestellt. Wenn Sie das Kontaktformular ausfüllen bzw. bei einer Betreiber:in einchecken), werden Ihre Kontaktdaten erhoben sowie die Aufenthaltsdaten ermittelt. Diese Daten werden durch die Schlüssel der Gesundheitsämter und der Betreiber:in verschlüsselt. Die Betreiber:in erhebt diese Daten und für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf und sind durch entsprechende Verträge mit den Betreiber:innen zur Wahrung der Datenschutzanforderungen verpflichtet.

Wir sind überzeugt, dass die Verschlüsselung zum Schutz Ihrer personenbezogenen Daten beiträgt, da diese somit nur durch Sie und bei Bedarf durch das zuständige Gesundheitsamt in ihrer Klarform einsehbar sind. Im Folgenden beschreiben wir konkret, welche Daten wir auf welcher Grundlage und zu welchen Zwecken erheben und verarbeiten, an welche Dienstleister wir diese weitergeben und welche Rechte Ihnen in Bezug auf Ihre Daten zustehen.

 

A. VERANTWORTLICHER luca System

Der/die für die Verarbeitung personenbezogener Daten, die von uns direkt erhoben werden, Verantwortliche ist: 

culture4life GmbH
Charlottenstraße 59
10117 Berlin
Deutschland
info@culture4life.de 

 

B. KONTAKTDATEN UNSERES DATENSCHUTZBEAUFTRAGTEN 

Unseren Datenschutzbeauftragten erreichen Sie wie folgt: 

culture4life GmbH
Datenschutzbeauftragter
Charlottenstraße 59
10117 Berlin
Deutschland
privacy@culture4life.de 

C. ERHEBUNG UND VERARBEITUNG bei der Nutzung des luca Kontaktformulars 

Das luca Kontaktformular unterscheidet sich wesentlich von den anderen luca Diensten. Es stellt im Grunde eine digitale Alternative zum herkömmlichen papierhaften Formular bei Betreiber:innen dar. 

1. Prozessbeschreibung

Erfassung der Daten zu Beginn Ihres Aufenthalts:

Wenn Sie bei einer Betreiber:in einchecken möchten, kann diese Ihnen anbieten, das digitale luca Kontaktformular zu nutzen, statt die Angaben auf einem gedruckten Kontaktformular der Betreiber:in zu machen. Nach Eingabe Ihrer Kontaktdaten werden diese mit einer zweifachen Verschlüsselung (mit einem Schlüssel der Gesundheitsämter und mit einem Schlüssel der Betreiber:in) versehen. Weder die Betreiber:innen, noch wir können Ihre Kontakt- und Aufenthaltsdaten entschlüsseln. Die verschlüsselten Daten werden an das luca-System übertragen und auf den Servern unserer Dienstleister (siehe Abschnitt 5.) innerhalb des EU-Raums gespeichert. 

Erfassung der Daten bei Beendigung Ihres Aufenthalts:

Nachdem Sie sich erfolgreich eingecheckt haben, checkt die Betreiber:in Sie nach einer gewissen Dauer aus, spätestens bei Schließung der Veranstaltung bzw. der Räumlichkeiten. 

Übermittlung der Kontaktnachverfolgungsdaten durch die Betreiber:innen an das zuständige Gesundheitsamt:

Das Gesundheitsamt kann eine Betreiber:in anfragen, um zu erfahren welche Personen sich zu einem bestimmten Zeitpunkt in der Lokation aufgehalten haben. Die Betreiber:in kann dann über ihr luca Profil die angefragten Daten an das Gesundheitsamt übermitteln. Da die Daten zweifach verschlüsselt sind (mit dem Betreiber:in- und dem Gesundheitsamt-Schlüssel), wird bei Teilen der Daten die Betreiber:in-Verschlüsselung aufgehoben. Das Gesundheitsamt erhält die immer noch mit dem Gesundheitsamt-Schlüssel verschlüsselten Daten und kann diese entschlüsseln. Damit kann nur das Gesundheitsamt die Klardaten einsehen. Die Betreiber:in ist für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf. 

2. Datenkategorien 

Wir verarbeiten folgende Kategorien von Daten, welche notwendig sind, um eine Kontaktnachverfolgung nach den im Zusammenhang mit der Bekämpfung von COVID Infektionen erlassenen Verordnungen der Länder zu gewährleisten bzw. zu erleichtern: 

  •  Kontaktdaten: Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse. 
  • Aufenthaltsdaten: Name bzw. Bezeichnung der Betreiber:innen, bei denen Sie sich aufgehalten haben, Datum, Beginn und Ende Ihres Aufenthalts sowie die Adresse Ihres Aufenthaltsorts. 
  • Zusätzliche Eingabedaten: Sonstige Informationen, die Sie durch Eingabefelder in unseren Diensten einreichen und die sich jeweils auf Sie beziehen, wie z. B. Notizen, die Sie in die Freitextfelder unserer Dienste eintragen. 

3. Zwecke und Rechtsgrundlagen der Verarbeitungen 

Wir werden Ihre personenbezogenen Daten nur zweckgebunden für die Unterstützung bei der Kontaktnachverfolgung im Rahmen der Bekämpfung der COVID-Pandemie und in diesem Rahmen der Verbesserung der Datenqualität entsprechend den aufgeführten Rechtsgrundlagen verarbeiten. Im Folgenden werden die hierfür vorgenommenen Verarbeitungen beschrieben und die jeweiligen Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten genannt.

Ziff. 

Verarbeitung und ggf. ergänzender Zweck 

Rechtsgrundlage 

Verantwortlicher 

(1) 

Wenn Sie bei einer Betreiber:in einchecken und dafür das Kontaktformular verwenden, erhebt diese mittels luca Ihre Kontaktdaten, Aufenthaltsdaten sowie ggf. Zusätzliche Eingabedaten 

Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei zur Kontaktnachverfolgung Verpflichteten ist dies die jeweilige gesetzliche Grundlage (jeweilige Landesverordnung iVm § 28a IfSG). Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung. 

Betreiber:innen 

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns. 

(2) 

Der Check-Out wird durch die Betreiber:in durchgeführt. 

Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei zur Kontaktnachverfolgung Verpflichteten ist dies die jeweilige gesetzliche Grundlage (jeweilige Landesverordnung iVm § 28a IfSG).. Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung. 

Betreiber:innen 

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns. 

(3) 

Eine durch Sie aufgesuchte Betreiber:in kann um Übermittlung der Besucherdaten für einen bestimmten Zeitraum von einem Gesundheitsamt angefragt werden. Dabei werden Ihre Kontaktdaten, Funktionalen Daten, Aufenthaltsdaten und ggf. Zusätzliche Eingabedaten an das Gesundheitsamt übermittelt.

Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei zur Kontaktnachverfolgung Verpflichteten ist dies die jeweilige gesetzliche Grundlage (jeweilige Landesverordnung iVm § 28a IfSG). Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung.

Betreiber:in 

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns. 

 

5. Empfänger:innen personenbezogener Daten 

Um die zuvor in dieser Datenschutzerklärung beschriebenen Zwecke zu erreichen, geben wir Ihre personenbezogenen Daten an folgende Empfänger:innen weiter, mit der Maßgabe, dass diese Ihre personenbezogenen Daten in keiner anderen Weise als zur Erbringung von Dienstleistungen für uns verwenden dürfen (als sogenannte Auftragsverarbeiter im Sinne des Art. 28 DSGVO): 

Durch Anbieter erbrachte Leistungen 

Anbieter 

Verarbeitete Daten 

Softwareentwicklung, Softwarewartungs- und Softwarebetriebsleistungen 

neXenio GmbH, Charlottenstr. 59, 10117 Berlin 

Kontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten, Temporäre Nutzungsdaten 

(Die Verarbeitung beschränkt sich auf eine mögliche Einsichtnahme in die gelisteten Daten im Rahmen der Durchführung der Softwarewartungs- und Softwarebetriebsdienstleistungen) 

IT-Infrastrukturleistungen (Server) 

Deutsche Telekom AG, Landgrabenweg 151, 53227 Bonn 

Kontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten, Temporäre Nutzungsdaten 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

IT-Infrastrukturleistungen 

Bundesdruckerei Gruppe GmbH, Kommandantenstraße 18, 10969 Berlin 

Kontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten, Temporäre Nutzungsdaten 

Server-Standort: Deutschland 

SMS-Versandleistungen 

Message Mobile GmbH, Stresemannstraße 6, 21335 Lüneburg

Sinch Germany GmbH, Wilhelm-Wagenfeld-Str. 20, 80807 München

Telefonnummer 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen. Diese können nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten. 

6. Dauer der Speicherung personenbezogener Daten 

Ihre personenbezogenen Daten werden nach Ablauf der nachfolgend beschriebenen Fristen automatisch gelöscht: 

  • Kontaktdaten, Aufenthaltsdaten und Zusätzliche Eingabedaten: Ihre Kontaktdaten, Aufenthaltsdaten und Eingabedaten, die durch bzw. im Zusammenhang mit dem Einchecken bei einer Betreiber:in generiert werden, werden gemäß den Corona/COVID Infektionsschutzverordnungen nach 4 Wochen gelöscht.

D. RECHTE DER BETROFFENEN PERSONEN 

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte, die Sie für alle Verarbeitungen, für die wir verantwortlich sind (s. Teil C.), uns gegenüber geltend machen können: 

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten. Diese Auskunft umfasst unter anderem die Verarbeitungszwecke, die Kategorien verarbeiteter personenbezogener Daten und die Empfänger:innen oder Kategorien der Empfänger:innen, denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden (Art. 15 DSGVO). Wir speichern Ihre Daten ausschließlich verschlüsselt und besitzen selbst nicht die zur Entschlüsselung notwendigen Schlüssel. Daher können wir nicht nachverfolgen, ob personenbezogene Daten einer bestimmten Person im luca System verarbeitet werden. Anders gestaltet sich dies bei Daten, die wir durch Ihre eigene Kontaktaufnahme (z. B. bei Supportanfragen) bei uns als Klardaten von Ihnen erhalten. In Bezug auf diese werden wir Ihnen auf Anfrage gerne die Auskunft erteilen. 
  • Das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen, sofern diese unrichtig oder unvollständig sind (Art. 16 DSGVO). Aufgrund der Verschlüsselung ist es weder der Betreiber:in noch uns möglich Ihre Daten zu ändern. Wir selbst könne Ihre Anfrage nur im Hinblick auf Daten bearbeiten, die wir von Ihnen als Klardaten erhalten (z. B. durch eine direkte Kontaktaufnahme durch Sie mit uns). 
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO).
    Ihre Kontaktdaten, Aufenthaltsdaten und Eingabedaten werden gemäß den Corona/COVID Infektionsschutzverordnungen nach 4 Wochen automatisch gelöscht. Eine vorherige Löschung dieser Daten ist aufgrund der gesetzlichen Frist nicht gegeben. Wir selbst sowie die Betreiber:innen können die Löschung für Sie nicht ausführen. Sofern wir Daten über Sie gespeichert haben (z.B. weil Sie uns in anderem Zusammenhang kontaktiert haben), die wir Ihnen zuordnen können oder die nicht auf den Eingaben von Ihnen innerhalb des luca Kontaktformulars hinterlegten Informationen beruhen, werden wir diese Daten entsprechend Ihrer Anfrage löschen, sofern nicht berechtigtes Interesse oder gesetzliche Aufbewahrungsfristen dem entgegenstehen. 
  • Das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO). Auch dieses Recht können wir aufgrund der Verschlüsselung und da uns selbst die zur Entschlüsselung notwendigen Schlüssel nicht vorliegen, nur in Bezug auf die durch Sie übermittelten Klardaten erfüllen. 

Bitte beachten Sie, dass wir Ihre personenbezogenen Daten grundsätzlich nicht in Form von Klardaten, sondern verschlüsselt verarbeiten, und wir daher in bestimmten Fällen nicht in der Lage sein werden, einer entsprechenden Aufforderung durch Sie zur Gewährung der vorgenannten Rechte nachzukommen. 

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unsere Datenschutzbeauftragte, unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden. 

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei der Berliner Beauftragten für Datenschutz und Informationsfreiheit einzulegen: 

Berliner Beauftragte für Datenschutz und Informationsfreiheit, Friedrichstr. 219, 10969 Berlin, Tel.: 030/13889-0, E-Mail: mailbox@datenschutz-berlin.de. 

E. VERSION 

Dies ist die aktuelle Fassung unserer Datenschutzerklärung (gültig ab dem 08.07.2021). Wir behalten uns vor, diese Datenschutzerklärung anzupassen (insbesondere im Falle von Änderungen der Rechtslage oder Änderungen unserer Dienste). Aus diesem Grund empfiehlt es sich diese Datenschutzerklärung in regelmäßigen Abständen abzurufen.