Datenschutzerklärung luca App

Zuletzt überarbeitet und aktualisiert am 12. Januar 2023

Wir, die culture4life GmbH („wir“ oder „uns“), sind zur Wahrung deiner datenschutzrechtlichen Belange im Zusammenhang mit deiner Nutzung unserer Dienste verpflichtet und jederzeit bestrebt, die Sicherheit und Integrität deiner personenbezogenen Daten in Übereinstimmung mit dem anwendbaren Datenschutzrecht zu wahren. Insbesondere zur Ermöglichung der in Ziff. 1.2 der Nutzungsbedingungen beschriebenen Funktionalitäten speichern und verarbeiten wir personenbezogene Daten auf die in dieser Datenschutzerklärung dargestellten Art.

Andere Zwecke sind nur mit der Verarbeitung deiner Daten bei dem Besuch unserer Webseite sowie z.B. in Zusammenhang mit unserem Social-Media-Auftritt gegeben. Diese Verarbeitungen finden statt, um einen sicheren Webauftritt zu gewährleisten, sowie z.B. bei der Bearbeitung deiner Anfragen (eben zu Zwecken dieser Bearbeitung). Mehr Informationen dazu findest du in den dafür vorgesehenen separaten Datenschutzerklärungen.

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. So stellen z. B. dein Name, deine E-Mail-Adresse, aber auch deine IP-Adresse personenbezogene Daten dar, für deren Verarbeitung die Datenschutzgrundverordnung (im Folgenden DSGVO) enge Grenzen setzt. Selbst wenn diese Daten, etwa durch Verschlüsselung, pseudonymisiert werden (d.h. dir nicht sofort, sondern nur durch eine Kombination von Daten und Schlüsseln zugeordnet werden können), sind diese datenschutzrechtlich ebenso zu schützen. Die Vorgaben der DSGVO zum Umgang mit diesen Daten treffen vor allem den Verantwortlichen, also denjenigen, der die Daten erhebt und verarbeitet. Sofern der Verantwortliche die Daten zur Erbringung einer Leistung an Dienstleister weitergibt, muss das dir als betroffener Person gegenüber transparent gemacht werden. Der jeweilige Dienstleister muss dabei an dieselben Standards wie der Verantwortliche gebunden und von diesem kontrolliert werden.

Im Folgenden beschreiben wir konkret, welche Daten wir auf welcher Grundlage und zu welchen Zwecken erheben und verarbeiten, an welche Dienstleister wir diese weitergeben und welche Rechte dir in Bezug auf deine Daten zustehen im Zusammenhang mit deiner Nutzung der luca App.

Der Verantwortliche für die Verarbeitung personenbezogener Daten, die von uns direkt erhoben werden, ist:

culture4life GmbH
Mörikestraße 67
70199 Stuttgart
Deutschland
info@culture4life.de

Unsere Datenschutzbeauftragte erreichst du an unserem Berliner Standort wie folgt:

culture4life GmbH
Datenschutzbeauftragte
Charlottenstraße 59
10117 Berlin
Deutschland
privacy@culture4life.de

Um die Funktionalitäten Ihrer luca App nutzen zu können, ist eine einmalige Aktivierung notwendig. Die Aktivierung ist nicht an Ihr Smartphone gebunden und kann mittels eines Accounts, der beispielsweise im luca System hinterlegt ist, übertragen werden.  

 

Es besteht die Möglichkeit für Sie in der luca App die Account Funktion zu nutzen. Mithilfe dieser wird es Ihnen ermöglicht, auf Ihre luca App geräteunabhängig Zugriff zu haben.  

Dafür wird Ihre, in der luca App, hinterlegte E-Mail-Adresse benötigt. Diese dient, mittels eines Links, zur Verifizierung bei einer neuen Anmeldung auf einem anderen Gerät. Sofern dies erfolgt ist, werden Sie in Ihrer luca App angemeldet. 

Wenn Sie eine E-Mail-Adresse eingeben, die nicht bereits hinterlegt ist, wird ein Account für diese erstellt. 

 

 

Ihre persönlichen Angaben werden in Ihrer App und in Ihrem Account hinterlegt. Dazu zählt Ihr Vor- und Nachname sowie Ihre E-Mail-Adresse. Sofern Sie die Funktionalität luca Pay (Abschnitt G) nutzen, gehört dazu noch Ihre Nutzerkennung und Ihre Zahlungshistorie. 

 Nicht in Ihrem Account enthalten, sondern nur gerätegebunden gespeichert, sind optional hochgeladene Test-, Genesenen- undImpfzertifikate (Abschnitt L) und Ausweisdokumente von luca ID (Abschnitt M). 

  1. Datenkategorien

Wir verarbeiten folgende Kontaktdaten, welche notwendig sind, um eine Registrierung in der App vorzunehmen: 

 

  • Name,  
  • Vorname 
  • E-Mail-Adresse 

Zusätzlich können Sie folgende Daten in Ihrem Account (Accountdaten) hinterlegen, die mit der Location, die Sie besuchen, geteilt werden: 

 

  • bevorzugter Name 
  • Präferenzen/Bedürfnisse 

 

Bei Nutzung der App werden fortdauernd Temporäre Nutzungsdaten erhoben: Daten, die bei der Nutzung der luca App anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Endgeräts, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform. 

 

Des Weiteren nutzen wir die Open Source Software Matomo zur Reichweitenmessung. Dabei werden zusätzlich folgenden Analysedaten erhoben. Sie können auch der Reichweitenmessung durch Matomo direkt in der App im Bereich Account / Einstellungen widersprechen. 

  • Anonymisierte IP-Adressen 
  • Pseudoanonymisierter Standort (basierend auf der anonymisierten IP-Adresse) 
  • Pseudonymisierte Besucher-ID 
  • Datum und Uhrzeit, Zeitzoneneinstellungen und lokale Zeit 
  • Aufgerufene Funktionen und Elemente der App 
  • Dateien und Links die angeklickt und heruntergeladen wurden 
  • Externe Links, die zur Öffnung der App dienen 
  • Ladedauer der App 
  • Einstellungen der App (bsp. eingestellte Sprache, Bildschirmauflösung) 
  • Konvertierte Ziele 

Wenn du dich in der App für den Newsletter angemeldet hast, findest du hier Informationen zu dieser Verarbeitung. 

2. Zwecke und Rechtsgrundlagen der Verarbeitung

 

Wir werden Ihre personenbezogenen Daten nur zweckgebunden entsprechend den aufgeführten Rechtsgrundlagen verarbeiten. Nachfolgend werden jeweils Verarbeitungen in Bezug auf den jeweiligen Zweck beschrieben und die jeweiligen Rechtsgrundlagen für die Verarbeitung Ihrer personenbezogenen Daten genannt: 

Ziff.  Verarbeitung und Zweck  Rechtsgrundlage  Verantwortlicher 
(1)  Bei Registrierung erheben und speichern wir Ihre Kontaktdaten, um eine Nutzung der Dienste unserer App gewährleisten zu können.   Art. 6 (1) 1 b) DSGVO: 

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca Dienste 

culture4life GmbH (wir) 
(2)  Bei Nutzung der Account Funktion werden Ihre Kontaktdaten nach erfolgter Verifizierung durch Ihre angegebene E-Mail-Adresse zur erneuten Anmeldung an ein anderes Gerät übertragen.  Art. 6 (1) 1 b) DSGVO: 

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca Dienste  

culture4life GmbH (wir) 
(3)  Beim Besuch einer Location werden Ihre Accountdaten in einer Kundenübersicht der Location in einem CRM-System dargestellt. 

 

Art. 6 (1) 1 b) DSGVO: Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge. 

 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

(4)  Bei Registrierung sowie Nutzung der luca App werden Temporäre Nutzungsdaten erhoben und gespeichert. Zweck ist die Gewährleistung der Sicherheit des luca Systems und damit die Gewährleistung der Leistungserbringung an Sie.  Art. 6 (1) 1 b) DSGVO: 

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App 

culture4life GmbH (wir) 
(5)  Sie können sich zum Newsletter anmelden und App-Benachrichtigungen aktivieren, um Informationen zu neuen Funktionen, Aktionen, Angebote und mehr von luca zu erhalten. Für den Versand des Newsletters und die Auswertung dessen wird Ihre E-Mail-Adresse verarbeitet.  Art. 6 (1) 1 a) DSGVO: Ihre Einwilligung durch die Anmeldung zum Newsletter und Marketing-Aktionen. Widerruf innerhalb des Mailings und in den App Einstellung möglich.  culture4life GmbH (wir) 
(6)  Wir benutzen die Open Source Software Matomo zur Reichweitenmessung. Es ist so konfiguriert, dass keine Cookies auf dem Gerät abgelegt werden.  

Dabei erheben wir Analysedaten, um das Verhalten unserer Besucher zum Zweck der Optimierung unseres Angebots zu analysieren.  

Art. 6 (1) 1 f) DSGVO 

 

Sie können auch der Reichweitenmessung durch Matomo direkt in der App widersprechen. 

Die Abwägung der berechtigten Interessen wurde dokumentiert. 

culture4life GmbH (wir) 

 

3. Empfänger:innen personenbezogener Daten

 

 

Um die zuvor in dieser Datenschutzerklärung beschriebenen Zwecke zu erreichen, geben wir Ihre personenbezogenen Daten an folgende Empfänger:innen weiter, mit der Maßgabe, dass diese Daten in keiner anderen Weise als zur Erbringung von Dienstleistungen für uns verwenden dürfen (als sogenannte Auftragsverarbeiter im Sinne des Art. 28 DSGVO): 

 

Durch Anbieter:innen erbrachte Leistungen  Anbieter:innen  Verarbeitete Daten 
Softwarewartungs- und Softwarebetriebsleistungen  neXenio GmbH, Charlottenstr. 59, 10117 Berlin  Kontaktdaten, Accountdaten, Temporäre Nutzungsdaten 

(Die Verarbeitung beschränkt sich auf eine mögliche Einsichtnahme in die gelisteten Daten im Rahmen der Durchführung der Softwarewartungs- und Softwarebetriebsdienstleistungen) 

IT-Infrastrukturleistungen (Server)  Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn 

 

Kontaktdaten, Accountdaten, Temporäre Nutzungsdaten. 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

Newsletterversand   HubSpot, Inc., 5 FirstStreet. Cambridge. MA 02141 USA  E-Mail-Adresse 
Push-Benachrichtigungen  Google Firebase Cloud Messaging 

Google, Inc. Mountain View, USA 

Firebase Cloud Messaging Firebase-Installations-ID 
Hosting von Matomo Analytics  SaaS Web Internet Solutions GmbH  

Steinstraße 25, 76133 Karlsruhe 

Analysedaten 

Weitere Informationen zu den Verarbeitungen seitens Matomo finden Sie unter: https://matomo.org/gdpr-analytics/ 

 

 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. 

4. Dauer der Speicherung personenbezogener Daten

 

 

Ihre personenbezogenen Daten werden nach Ablauf der nachfolgend beschriebenen Fristen automatisch gelöscht:  

 

Kontaktdaten: 

  • Innerhalb der luca App finden Sie einen sogenannten Löschbutton. Mit diesem können Sie die Löschung Ihrer Daten durchführen.  
  • Durch einfache Deinstallation der App werden auch ohne Nutzung des Löschbuttons die auf Ihrem Endgerät lokal hinterlegten Daten gelöscht.  

Accountdaten: 

  • Innerhalb der luca App finden Sie einen sogenannten Löschbutton. Mit diesem können Sie die Löschung Ihrer Daten durchführen.  
  • Durch einfache Deinstallation der App werden auch ohne Nutzung des Löschbuttons die auf Ihrem Endgerät lokal hinterlegten Daten gelöscht. 

 

Temporäre Nutzungsdaten: 

  • Temporären Nutzungsdaten werden in Logfiles verarbeitet. Diese werden von uns für maximal 7 Tage gespeichert und anschließend automatisch gelöscht. Eine darüberhinausgehende Speicherung findet nicht statt. 

Analysedaten:  

  • Ihre Daten werden bei der Erfassung direkt anonymisiert und pseudonymisiert. Durch die oben genannten Maßnahmen können wir keinerlei Rückschlüsse auf die Identität einzelner Besucher ziehen. Diese werden maximal 14 Monate gespeichert und anschließend automatisch gelöscht. 

Mit der Standortsuche können Sie Betreiber:innen im gewünschten Suchbereich in Deutschland oder in der Nähe Ihres Standortes finden, bei denen Sie luca nutzen können.

1. Datenkategorien 

 

 

Bei luca Discovery haben Sie die Möglichkeit, Betreiber:innen zu suchen, die sich in Ihrer Nähe befinden. Dabei verarbeiten wir Ihre Standortdaten. Die Nutzung dieser Funktion erfordert das Einschalten der Ortungsdienste in Ihren Smartphone-Einstellungen.

Zusätzlich werden Technische Darstellungsdaten erhoben, die notwendig sind, um eine Karte mit allen Locations in Ihrer Umgebung abbilden zu können. Durch die Nutzung werden Ihre IP-Adresse und ggf. weitere Daten (wie z.B. Standortdaten) an Google übertragen und von Google gemäß den Datenschutzbestimmungen von Google verwendet. 

2. Zwecke und Rechtsgrundlagen der Verarbeitungen

 

 

Die Nutzung von luca Discovery ist freiwillig, sodass die Verarbeitung Ihrer Standortdaten ausschließlich nach Erteilung einer Einwilligung stattfindet und damit auf Art. 6 (1) 1) a) DSGVO beruht. Sie können Ihre erteilte Einwilligung für die Zukunft jederzeit innerhalb Ihrer Smartphone-Einstellungen widerrufen.

3. Empfänger:innen personenbezogener Daten

Für die Ermittlung Ihres Standortes geben wir Ihre personenbezogenen Daten an folgende Unterauftragnehmer weiter:

Durch Anbieter:innen erbrachte Leistungen  Anbieter:innen  Verarbeitete Daten 
Softwarewartungs- und Softwarebetriebsleistungen  neXenio GmbH, Charlottenstr. 59, 10117 Berlin  Standortdaten 
IT-Infrastrukturleistungen (Server)  Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn 

 

Standortdaten 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

Standortbestimmung   Google Ireland Limited
Gordon House, Barrow Street
Dublin 4
Irland 
Technische Darstellungsdaten 

Weitere Infos zur Datenverarbeitung finden Sie hier: 

 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können.

4. Dauer der Speicherung personenbezogener Daten

 

 

Ihre letzte Standortsuche wird Ihnen in Ihrer App angezeigt. Diese wird nur lokal auf Ihrer Smartphone gespeichert. Eine weitere Speicherung dieser erfolgt in unseren Systemen nicht.

Insofern ein Restaurant die Reservierungsfunktionalität nutzt, können Sie direkt über Ihre eigene luca App eine Tischreservierung vornehmen.

Dafür wählen Sie innerhalb der luca Discovery die Location aus und geben ein Datum sowie ein Zeitfenster an. Sie wählen anschließend die Personenzahl aus. Im Zuge dessen werden personenbezogene Daten erhoben. Abschließend erhältst du eine Reservierungsbestätigung.

1. Datenkategorien

 

 

Im Zuge der Reservierung verarbeitet die Betreiber:in Ihre Kontaktdaten. Darunter fällt Ihr Vor- und Nachname sowie Ihre Telefonnummer und E-Mail-Adresse.

2. Zwecke und Rechtsgrundlagen der Verarbeitungen

 

 

Die Nutzung der Reservierungsfunktion erfolgt, um vorvertragliche Maßnahmen im Sinne von Art. 6 (1) 1 b) DSGVO zwischen Ihnen und der Betreiber:in zu gewährleisten.

3. Empfänger:innen personenbezogener Daten

Für die Erhebung Ihrer Daten bei einer Reservierung ist die Betreiber:in Verantwortliche. Wir stellen der Betreiber:in den technischen Service zur Verfügung und sind dementsprechend Auftragnehmer der Betreiber:in nach Art. 28 DSGVO.

Darüber hinaus erhalten folgende Unterauftragnehmer Ihre personenbezogenen Daten:

Durch Anbieter erbrachte Leistungen Anbieter Verarbeitete Daten
Softwarewartungs- und Softwarebetriebsleistungen neXenio GmbH, Charlottenstr. 59, 10117 Berlin Kontaktdaten
IT-Infrastrukturleistungen (Server) Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn

 

Kontaktdaten

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

Versand der Reservierungsbestätigung Sendinblue GmbH Köpenicker Str. 126, 10179 Berlin Kontaktdaten, Reservierungsanfragen

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können.

4. Dauer der Speicherung personenbezogener Daten

 

 

Die zur Reservierung benötigten Daten werden von der Betreiber:in gespeichert und 12 Wochen nach Ablauf der Reservierung automatisch gelöscht.

Insofern ein Restaurant die Bestellfunktion nutzt, können Sie direkt über Ihre eigene luca App eine Bestellung vornehmen.  

 

 

Dafür wählen Sie innerhalb des hinterlegten Menüs die gewünschten Speisen und Getränke aus und geben Ihre Bestellung nach dem Zahlvorgang auf.  

 

Im Zuge dessen werden personenbezogene Daten erhoben. Abschließend erhalten Sie eine Bestellbestätigung. 

 

 

1. Datenkategorien 

Im Zuge der Bestellung verarbeitet die Betreiber:in Ihre Kontaktdaten. Darunter fällt Ihr Vor- und Nachname. 

 

Zudem werden Informationen über Ihre Bestellung verarbeitet. Dazu zählt: Art und Anzahl der Speisen und Getränke, Datum und Uhrzeit der Bestellung, Gesamtbetrag der Bestellung und sonstige Bestellhistorie. 

 

Außerdem werden je nach Bestellvorgang unter Umständen Zahlungsdaten wie bereits im Abschnitt G dieser Datenschutzerklärung beschrieben, verarbeitet.  

 

2. Zwecke und Rechtsgrundlagen der Verarbeitungen  

Die Verarbeitung von Kontaktdaten und Informationen über Ihre Bestellung erfolgt, um vertragliche Maßnahmen im Sinne von Art. 6 (1) 1 b) DSGVO zwischen Ihnen und der Betreiber:in zu gewährleisten.
 

3. Empfänger:innen personenbezogener Daten 

Für die Erhebung Ihrer Daten bei einer Bestellung ist die Betreiber:in Verantwortliche. Wir stellen der Betreiber:in den technischen Service zur Verfügung und sind dementsprechend Auftragnehmer der Betreiber:in nach Art. 28 DSGVO. 

 

Darüber hinaus erhalten folgende Unterauftragnehmer Ihre personenbezogenen Daten: 

 

Durch Anbieter:innen erbrachte Leistungen  Anbieter:innen  Verarbeitete Daten 
Softwarewartungs- und Softwarebetriebsleistungen  neXenio GmbH, Charlottenstr. 59, 10117 Berlin  Kontaktdaten, Informationen über Ihre Bestellung 
IT-Infrastrukturleistungen (Server)  Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn 

 

Kontaktdaten, Informationen über Ihre Bestellung 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

Versand der Bestellbestätigung  Sendinblue GmbH Köpenicker Str. 126, 10179 Berlin  Kontaktdaten, Informationen über Ihre Bestellung 

 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. 

 

4. Dauer der Speicherung personenbezogener Daten 

 

  • Ihre Kontaktdaten werden mit Bedienen des Löschbuttons innerhalb Ihrer App oder durch Widerruf gelöscht. 
  • Die Informationen Ihrer Bestellung sowie Ihre Bestellhistorie müssen im Zusammenhang mit digitalen Zahlungen bis zu 10 Jahre aufgrund gesetzlicher Aufbewahrungspflichten gespeichert werden. 

 

 

Die luca App bietet Ihnen die Möglichkeit, in verschiedenen Locations in Zusammenarbeit mit dem Zahlungsdienstleister Rapyd digital zu bezahlen, Trinkgelder zu geben, Ihr Zahlungsmittel für wiederholte Zahlungsvorgänge in luca zu speichern und eine Übersicht Ihrer vergangenen Zahlungen anzuzeigen.

1. Datenkategorien 

 

 

Sofern Sie über das luca-System eine Zahlung durchführen und/oder Ihr Zahlungsmittel speichern möchten, werden folgende Daten verarbeitet und ggf. beim Bezahlvorgang mit dem/der Betreiber:in und mit dem eingesetzten Zahlungsdienstleister geteilt:

  • Nutzerkennung: Nutzer-ID
  • Optionale Nutzerdaten: E-Mail-Adresse
  • Zahlungsmittelinformationen: Bank- und Rechnungskontodaten, Kreditkarteninformationen, Name der/des Karteninhabers:in
  • Informationen über die Transaktion mit der Betreiber:in: Transaktion-ID, Uhrzeit, Datum der Transaktion, Rechnungsbetrag, Name bzw. Bezeichnung der Betreiber:innen
  • Technische Verbindungsdaten bei Nutzung des WLANs der Betreiber:in: Standort, lokale WLAN-SSID

2. Prozessbeschreibung

 

 

Insofern Sie die Zahlungsfunktion Ihrer luca App nutzen möchten, können Sie diese in Ihrer App aktivieren. Das luca-System generiert Ihre Nutzerkennung. Diese kann bei Nutzung der Account Funktion in diesem hinterlegt sein. 

Sobald Sie sich für einen Bezahlvorgang mittels luca entscheiden, stellt die Betreiber:in einen QR-Code zur Verfügung, der beispielsweise an einem Tisch platziert ist und den offenen Rechnungsbetrag enthält. Nach dem Scannen des QR-Codes wird Ihnen innerhalb der luca App die von der Betreiber:in hinterlegten Informationen zu der offenen Rechnung angezeigt. Sie können sich dann noch entscheiden, ein Trinkgeld in gewünschter Höhe zu geben. Durch Bestätigung der Rechnungssumme und des Trinkgeldes werden Sie zu dem Zahlungsdienstleister Rapyd automatisch weitergeleitet. Dort sehen Sie erneut zur Kontrolle den Zahlungsbetrag und den Empfänger (d.h. die Betreiber:in). Bei diesem Vorgang wird ebenfalls von der luca App Ihre Nutzerkennung an die Betreiber:in übermittelt und dem Zahlungsprozess zugeordnet. Dir stehen mehrere Zahlungsmittel zur Auswahl, u.a. Masterkarte, Visakarte, ApplePay und GooglePay. Nach Auswahl können Sie Ihre Zahlungsmittelinformationen eingeben. Durch eine abschließende Bestätigung wird Ihre Zahlung über den Zahlungsdienst Rapyd ausgeführt.

Ist eine Zahlung wegen schlechter Internetabdeckung nicht möglich, besteht die Möglichkeit, das lokale WLAN der Betreiber:in für die Zahlung zu aktivieren. Dabei wird der aktuelle Standort und die lokale WLAN-SSID aus dem Mobiltelefon und Umgebung ausgelesen und nur für die Verbindungsherstellung genutzt. Eine dauerhafte Speicherung wird nicht durchgeführt. Wird das lokale WLAN nicht aktiviert, wird versucht, die Zahlung über die bestehende Verbindung durchzuführen.

luca bietet Ihnen die Möglichkeit, Ihre Zahlungsmittelinformationen dauerhaft zu hinterlegen, um diese bei erneuten Zahlungen mittels luca nicht jedes Mal erneut (im Rapyd-System) eingeben zu müssen.

Ihre Zahlungsmittelinformationen werden von luca erhoben, mit Ihrer Nutzerkennung verknüpft und bei Zahlungswunsch (Scannen des QR-Codes und Akzeptieren des Betrages) einer Betreiber:in zur Durchführung der Zahlung übermittelt. Dies bedeutet, dass nun bei erneutem Bezahlen mittels luca auf die bereits von Ihnen hinterlegten Daten zurückgegriffen und dem Zahlungsprozess zugeordnet wird. Damit entfällt die erneute Weiterleitung zur Webseite von Rapyd.

Bei Speicherung Ihrer Zahlungsmittelinformationen stellt Ihnen luca eine Auflistung („Zahlungshistorie“) Ihrer vollzogenen Zahlungen zur Einsicht bereit. In dieser können Sie die Informationen über Ihre Transaktionen mit den Betreiber:innen einsehen.

  1. Zwecke und Rechtsgrundlagen der Verarbeitungen

Im Folgenden sind Verarbeitungen sowie deren Zwecke und Rechtsgrundlagen dargestellt, welche dem Zwecke der Zahlungsabwicklung dient. 

Ziff.  Verarbeitung und Zweck  Rechtsgrundlage  Verantwortlicher 
(1)  Wenn Sie die Funktion Digitale Zahlungen nutzen möchten, wird eine Nutzerkennung für Sie erstellt. Mittels dieser können Ihre Zahlungen verknüpft und Ihnen als Zahlungshistorie angezeigt werden.  Art. 6 (1) 1 b) DSGVO:  

(Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App) 

culture4life GmbH (wir) 
(2)  Sofern Sie den QR-Code der Betreiber:in scannen (das Vorhalten der Smartphone-Kamera über den QR-Code) möchten, um die Zahlung durchzuführen, erfolgt dies unter Nutzung Ihrer Kamera. Nur der QR-Code wird dabei eingelesen. Im Umfeld befindliche Daten werden nicht erfasst.  Art. 6 (1) 1 a) DSGVO: 

Einwilligung durch Einschalten der Kamerafunktion, ggf. nach Aufforderung in der App. 

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Kamerafunktion ausschalten. 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

(3)  Beim Einscannen des QR-Codes wird Ihre Nutzerkennung an die Betreiber:in übermittelt.  Art. 6 (1) 1 b) DSGVO: 

(Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge) 

 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

 

(4)  Wenn Sie eine Zahlung über den Betreiber:in tätigen möchten und den Zahlungsvorgang in Ihrer App gestartet hast, können Sie Ihre präferierten Zahlungsmittelinformationen eingeben. 

 

Art. 6 (1) 1 b) DSGVO: 

(Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge) 

 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

(5)  Ist eine Zahlung wegen schlechter Internetabdeckung nicht möglich, besteht die Möglichkeit, das lokale WLAN für die Zahlung zu aktivieren. 

 

Art. 6 (1) 1 a) DSGVO Einwilligung 

 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

(6)  luca bietet Ihnen die Möglichkeit, Ihre Zahlungsmittelinformationen zu speichern, um bei Zahlungen Ihre Daten nicht erneut eingeben zu müssen. Dabei werden Ihre Zahlungsmittelinformationen erhoben und mit Ihrer Nutzerkennung verknüpft.  Art. 6 (1) 1 a) DSGVO 

Einwilligung 

culture4life GmbH (wir) 
(7)  Um eine Zahlung anschließend erneut auszuführen und Ihnen Ihre Zahlung zu bestätigen, empfängt die Betreiber:in nun Ihre Zahlungsmittelinformationen mittels Ihrer Nutzerkennung.  Art. 6 (1) 1 b) DSGVO: 

(Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge) 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

 

(8)  Abschließend werden Sie gebeten, die Zahlung zu bestätigen. Ist dies erfolgt, wird die Zahlung über den Zahlungsdienst Rapyd ausgeführt. Die Betreiber:in kann nun Ihre Zahlung entgegennehmen und Ihre Rechnung wird beglichen. Bei diesem Zahlungsvorgang werden die Informationen über die Transaktion bei dem Betreiber:in gespeichert.  Art. 6 (1) 1 b) DSGVO: 

(Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge) 

 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

(9)  Optional können Sie nach der Zahlungsdurchführung den Zahlungsbeleg (Informationen über die Transaktion mit der Betreiber:in) anfordern.Dieser wird ggf. an Ihre im Account hinterlegte E-Mail-Adresse versendet.  Art. 6 (1) 1 a) Einwilligung 

 

 

 

Betreiber:innen 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

(10)  Ihre Transaktion steht Ihnen zur Ansicht innerhalb Ihrer eigenen Historie in der App zur Verfügung. Der Zweck dahinter ist, Ihnen jederzeit zu ermöglichen, die Richtigkeit Ihrer Zahlung zu kontrollieren.  Art. 6 (1) 1 b) DSGVO: 

(Zur Erfüllung der zwischen Ihnen und der Betreiber:in geltenden Verträge) 

 

 

 

Betreiber:innen 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

(11)  Um unser Unternehmen vor Schäden durch Betrug oder andere Schäden zu schützen, haben wir technische Mechanismen eingeführt, welche entsprechende Auffälligkeiten erkennen und melden. Dabei können Ihre Nutzerkennung sowie die Informationen über die Transaktion bei dem Betreiber:in verarbeitet werden.  Art. 6 (1) 1 f) DSGVO: 

 

 

culture4life GmbH (wir) 

4. Empfänger:innen personenbezogener Daten

Durch Anbieter erbrachte Leistungen Anbieter Verarbeitete Daten
Durchführung von Zahlungen und zugehörigen Services  Rapyd Europe hf., Suðurlandsbraut 30, 108 Reykjavík, Island Nutzerkennung, Zahlungsmittelinformationen, Informationen über die Transaktion mit der Betreiber:in

Die geltenden Datenschutzbestimmungen von Rapyd und können unter Privacy Policy of Rapydabgerufen werden.

Softwarewartungs- und Softwarebetriebsleistungen neXenio GmbH, Charlottenstr. 59, 10117 Berlin Nutzerkennung, Informationen über die Transaktion mit der Betreiber:in 
IT-Infrastrukturleistungen (Server) Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn

 

Nutzerkennung, Informationen über die Transaktion mit der Betreiber:in

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

Versand des Zahlungsbelegs Sendinblue GmbH Köpenicker Str. 126, 10179 Berlin

 

Optionale Nutzerdaten, Informationen über die Transaktion mit der Betreiber:in

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. 

5. Dauer der Speicherung personenbezogener Daten

 

  • Ihre Nutzerkennung sowie Ihre optionalen Nutzerdaten werden mit Bedienen des Löschbuttons innerhalb Ihrer App oder durch Widerruf gelöscht.  
  • Zahlungsmittelinformationen und Informationen über die Transaktion mit der Betreiber:in werden von dem Zahlungsdienstleister Rapyd gemäß bankaufsichtsrechtlicher Regulatoriken bis zu 10 Jahre gespeichert. Ebenso muss auch luca die Zahlungsdaten für die Abrechnungen mit der Betreiber:in 10 Jahre aufbewahren 

Das Treueprogramm von luca ermöglicht Ihnen das Sammeln und Einlösen von Treuepunkten (luca Points), die Ihnen Vorteile bieten bei der Nutzung der luca App bieten.  

Diese Treuepunkte sind an Ihren Account (siehe Abschnitt C.) geknüpft.  

Es besteht unter anderem die Möglichkeit mit der digitalen Zahlungsfunktion (siehe Abschnitt G.), zahlungsgebundene luca Points zu sammeln sowie diese bei einer Zahlung einzulösen.  

1. Datenkategorien 

  • Nutzerkennung: Nutzer-ID 
  • Informationen über die Transaktion mit der Betreiber:in: Transaktion-ID, Uhrzeit, Datum der Transaktion, Rechnungsbetrag, Name bzw. Bezeichnung der Betreiber:innen 

 2. Zwecke und Rechtsgrundlagen der Verarbeitungen  

 

 

Die Teilnahme am Treueprogramm erfolgt, auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App im Sinne von Art. 6 (1) 1 b) DSGVO. 

3. Empfänger:innen personenbezogener Daten 

 

Durch Anbieter:innen erbrachte Leistungen  Anbieter:innen  Verarbeitete Daten 
Softwarewartungs- und Softwarebetriebsleistungen 

 

neXenio GmbH, Charlottenstr. 59, 10117 Berlin 

 

Nutzerkennung,  

Informationen über die Transaktion mit der Betreiber:in 

 

IT-Infrastrukturleistungen (Server) 

 

Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn 

 

Nutzerkennung, 

Informationen über die Transaktion mit der Betreiber:in 

 

 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. 

4. Dauer der Speicherung personenbezogener Daten 

 

 

Die zur Teilnahme benötigten Daten, werden von uns verarbeitet, solange es für die Erfüllung unserer vertraglichen und gesetzlichen Pflichten erforderlich ist. 

In unregelmäßigen Abständen veranstalten wir Gewinnspiele, an denen Sie auf freiwilliger Basis teilnehmen können.

1. Datenkategorien 

 

 

Zur Teilnahme werden nachfolgende Daten von dir benötigt: E-Mail-Adresse

2. Zwecke und Rechtsgrundlagen der Verarbeitungen

 

 

Die Teilnahme am Gewinnspiel ist freiwillig, sodass die Verarbeitung Ihrer Daten im Zusammenhang mit Gewinnspielen ausschließlich nach Erteilung einer Einwilligung stattfindet und damit auf Art. 6 (1) 1) a) DSGVO beruht. Die Teilnahme für unter 16-Jährige ist nur mittels einer Einwilligung der Erziehungsberechtigten möglich. Sie können Ihre erteilte Einwilligung für die Zukunft jederzeit widerrufen.

3. Empfänger:innen personenbezogener Daten

 

 

Für die Zusendung des Gewinns geben wir Ihre personenbezogenen Daten an Versanddienstleister weiter. Diese sind jedoch keine Unterauftragnehmer im Sinne der DSGVO. Darüber hinaus erhalten folgende Unterauftragnehmer Ihre personenbezogenen Daten:

Durch Anbieter:innen erbrachte Leistungen Anbieter:innen Verarbeitete Daten
Softwarewartungs- und Softwarebetriebsleistungen neXenio GmbH, Charlottenstr. 59, 10117 Berlin Nutzerkennung, Informationen über die Transaktion mit der Betreiber:in, E-Mail-Adresse
IT-Infrastrukturleistungen (Server) Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn Nutzerkennung, Informationen über die Transaktion mit der Betreiber:in, E-Mail-Adresse

 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

Abwicklung der Gewinnspiele Sendinblue GmbH, Köpenicker Str. 126, 10179 Berlin E-Mail-Adresse

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können.

4. Dauer der Speicherung personenbezogener Daten

 

 

Die zur Teilnahme benötigten Daten werden von uns zum Zwecke der Durchführung des jeweiligen Gewinnspiels gespeichert und zwei Wochen nach dem Ende des Gewinnspiels gelöscht.

Mit Pausierung der Kontaktnachverfolgung wurden bereits alle noch in dem luca System hinterlegten Kontakt- und Aufenthaltsdaten (Check-Ins) aus unserer Datenbank entfernt.

Mit Hilfe Ihrer luca App können Sie ganz einfach Ihre Kontaktdaten bei Ihrem Besuch beispielsweise eines Restaurants zum Zwecke der Kontaktnachverfolgung hinterlegen. Diese Daten werden verschlüsselt abgespeichert und können nur durch dezentrale Entschlüsselung von einem Gesundheitsamt abgerufen und in Klarform eingesehen werden. Wir als culture4life sowie die von Ihnen besuchten Gastronom:innen, Einzelhandelsgeschäften, Veranstalter:innen und sonstigen Betreiber:innen (im Folgenden insgesamt „Betreiber:innen“) haben zu keinem Zeitpunkt Einsicht auf Ihre Daten in unverschlüsselter Form. 

Durch die verschiedene Akteure bei der Kontaktnachverfolgung befindet sich auch die Verantwortung der Datenverarbeitung in unterschiedlichen Händen. Wir sind direkt verantwortlich für die Verarbeitung der personenbezogenen Daten, die Sie bei der Registrierung in der luca App eingeben. Uns liegen Ihre personenbezogenen Daten nur in verschlüsselter Form vor.  Ihre Aufenthaltsdaten werden nicht von uns, sondern von den durch Sie besuchten Betreiber:innen erhoben. Dies geschieht, indem diese Ihren QR-Code oder Sie den QR-Code der Betreiber:in scannen. Die Betreiber:in ist für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf und sind durch entsprechende Verträge mit den Betreiber:innen zur Wahrung der Datenschutzanforderungen verpflichtet. 

Wir sind überzeugt, dass die Verschlüsselung zum Schutz Ihrer personenbezogenen Daten beiträgt, da diese somit nur durch Sie und bei Bedarf durch das zuständige Gesundheitsamt in ihrer Klarform einsehbar sind. Im Folgenden beschreiben wir konkret, welche Daten wir auf welcher Grundlage und zu welchen Zwecken erheben und verarbeiten, an welche Dienstleister wir diese weitergeben und welche Rechte Ihnen in Bezug auf Ihre Daten zustehen. 

1. Datenkategorien

 

 

Wir verarbeiten folgende Kategorien von Daten, welche notwendig sind, um eine Kontaktnachverfolgung nach den im Zusammenhang mit der Bekämpfung von COVID-Infektionen erlassenen Verordnungen der Länder zu gewährleisten bzw. zu erleichtern:

  • Kontaktdaten: Name, Vorname, Anschrift, Telefonnummer, E-Mail-Adresse.
  • Funktionale Daten: Datenzuordnungs-IDs, Schlüssel und QR-Codes.
  • Aufenthaltsdaten: Name bzw. Bezeichnung der Betreiber:innen, bei denen Sie sich aufgehalten haben, Datum, Beginn und Ende Ihres Aufenthalts sowie Adresse Ihres Aufenthaltsorts.
  • Zusätzliche Eingabedaten: Sonstige Informationen, die eine Betreiber:in durch Eingabefelder in unseren Diensten eintragen kann und die sich jeweils auf Ihren Aufenthalt beziehen, wie z. B. Tisch- und/oder Raumnummer.

2. Prozessbeschreibung

 

 

Die luca App ist der meistgenutzte luca Dienst. Sie finden diese in allen gängigen App Stores und können Sie bequem auf Ihrem Smartphone installieren und nutzen. Nach Eingabe Ihrer Kontaktdaten und erfolgreicher Verifizierung Ihrer Telefonnummer wird für Sie ein individueller Schlüssel generiert. Dieser wird zur Verschlüsselung Ihrer Kontaktdaten verwendet. Ihre Kontaktdaten sowie Ihr Schlüssel verbleibt bis zu Ihrem ersten Check-In ausschließlich auf Ihrem eigenen Smartphone. Die verschlüsselten Daten werden an das luca-System übertragen und auf den Servern unserer Dienstleister innerhalb des EU-Raums gespeichert.

Erfassung der Daten zu Beginn Ihres Aufenthalts: Nun können Sie sich bei Ihren Lieblings-Lokalitäten einchecken. Dabei wird der Zeitraum Ihres Aufenthalts bei einer Betreiber:in durch Scannen des QR-Codes erfasst. In diesem Zusammenhang wird Ihr persönlicher Schlüssel (mit dem Ihre Kontaktdaten im Zuge der Registrierung verschlüsselt wurden) mit dem Schlüssel der Gesundheitsämter verschlüsselt. Die Betreiber:in verschlüsselt mit ihrem eigenen Schlüssel wiederum diese Daten. Ihre Kontaktdaten sind somit mit Ihrem Nutzer-Schlüssel verschlüsselt und dieser Schlüssel wird bei jedem Check-In sowohl durch das Gesundheitsamt als auch durch die Betreiber:innen verschlüsselt und damit in zweifach verschlüsselter Form im luca System abgelegt. Weder die Betreiber:innen noch wir können die verschlüsselten Daten in ihrer Klarform einsehen und Ihnen als Person zuordnen. Lediglich das zuständige Gesundheitsamt wird im Nachverfolgungsfall in der Lage sein, die Daten zu entschlüsseln. Sofern Sie sich dafür entscheiden, den QR-Code der Betreiber:in zu scannen, ist das Einschalten der Kamera Ihres Smartphones erforderlich. Gespeichert wird nur die Aufnahme des QR-Codes. Die verschlüsselten Daten werden an das luca-System übertragen und auf den Servern unserer Dienstleister innerhalb des EU-Raums gespeichert.

Die Betreiber:in ist für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf.

Erfassung der Daten bei Beendigung Ihres Aufenthalts: Nachdem Sie sich erfolgreich eingecheckt haben und den Aufenthalt beenden möchten, können Sie sich auf unterschiedliche Weise in der App auschecken. Sie können sich in Ihrer App manuell auschecken oder den automatischen Check-Out verwenden. Für den automatischen Check-Out wird die Geo-Fencing-Funktion verwendet. Beim Geo-Fencing wird der durch die Betreiber:in angegebene Bereich mit Ihrem Standort abgeglichen. Sobald Sie diesen verlassen, wird der Check-Out automatisch durchgeführt und der Zeitpunkt des Verlassens erhoben. Die Nutzung dieser Funktion erfordert das Einschalten der GPS-Funktion in Ihren Smartphone-Einstellungen. Möchten Sie das Geo-Fencing nicht mehr nutzen, können Sie jederzeit den automatischen Check-Out in Ihrer luca App wieder deaktivieren oder die GPS-Funktion in Ihren Smartphone-Einstellungen ausschalten. Falls Sie den Check-Out vergessen, hat die Betreiber:in die Möglichkeit, Sie auszuchecken.

Erfassung der Daten bei privaten Veranstaltungen: Sie können ebenfalls eigene private Veranstaltungen erstellen und bei solchen einchecken, etwa wenn Sie eine Geburtstagsfeier zu Hause veranstalten. Beim Einchecken bei solchen privaten Veranstaltungen erhält die private Gastgeber:in Ihren Vor- und Nachnamen. Sie sehen zwar diesen Aufenthaltsort in Ihrer Historie, solche privaten Ereignisse werden aber nicht mit dem Gesundheitsamt geteilt.

Optionales Teilen der Historie mit dem zuständigen Gesundheitsamt im Falle einer Infektion:

Kontaktiert Sie ein Gesundheitsamt und bittet Sie um Mitteilung Ihrer letzten Aufenthalte, können Sie dies bequem über Ihre luca App durchführen. Hierfür wählen Sie die Funktion „Historie freigeben“ und wählen die Anzahl der Tage aus, die Sie übermitteln möchten (maximal 14 Tage). Sodann generieren Sie eine sogenannte TAN (d.h. eine Transaktionsnummer, die zur Autorisierung verwendet wird und nur zur einmaligen Verwendung gültig ist). Hierbei werden Ihre Aufenthaltsdaten der ausgewählten Tage und Ihr persönlicher Schlüssel an das Gesundheitsamt übertragen. All diese Daten werden für die Übertragung mit dem Gesundheitsamt-Schlüssel verschlüsselt. Sobald Sie dem Gesundheitsamt Ihre TAN nennen, kann dieses Datenpaket durch das Gesundheitsamt zugeordnet und daraufhin entschlüsselt werden.

Dies geschieht ausdrücklich durch Ihre Einwilligung und aktives Zutun durch Mitteilen der TAN. Nach Mitteilung Ihrer TAN geht der Widerruf dieser Einwilligung ins Leere, weil das Gesundheitsamt nach Abruf der Daten Verantwortlicher für die weitere Verarbeitung ist und auf gesetzlicher Grundlage handelt.

Übermittlung der Kontaktnachverfolgungsdaten durch die Betreiber:innen an das zuständige Gesundheitsamt:Das Gesundheitsamt kann auf Basis Ihrer Historie die betroffenen Betreiber:innen zuordnen und kontaktieren, um zu erfahren, welche weiteren Personen sich zum betreffenden Zeitpunkt ebenfalls in der Lokation (d.h. im räumlichen Bereich der Betreiber:in) aufgehalten haben. Die Betreiber:in kann dann über ihr luca Profil die angefragten Daten an das Gesundheitsamt übermitteln. Da die Daten zweifach verschlüsselt sind (mit dem Betreiber:in- und dem Gesundheitsamt-Schlüssel), wird bei Teilen der Daten die Betreiber:in-Verschlüsselung aufgehoben. Das Gesundheitsamt erhält die immer noch mit dem Gesundheitsamt-Schlüssel verschlüsselten Daten und kann diese entschlüsseln. Damit kann nur ein Gesundheitsamt die Klardaten einsehen. Die Betreiber:in ist für diese Verarbeitung verantwortlich und wir treten hierbei als Auftragsverarbeiter der Betreiber:in auf.

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

 

 

Bei der Übertragung Ihrer Besuchshistorie (wie in der Prozessbeschreibung dargestellt) an ein Gesundheitsamt liegt eine erhöhte Wahrscheinlichkeit vor, dass Sie infiziert sind oder aufgrund eines möglichen Kontaktes zu einer infizierten Person nachverfolgt werden. Da dies ggf. Rückschlüsse über Ihre Gesundheit zulassen kann, handelt es sich um ein Gesundheitsdatum i.S.d. Art. 9 DSGVO. Eine Zuordnung dieses Gesundheitsdatums zu Ihnen als Person kann aufgrund der Verschlüsselung nur das Gesundheitsamt, dem Sie die TAN mitgeteilt haben, erfolgen. Auf Basis Ihrer ausdrücklichen Einwilligung gemäß Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO überträgt luca Ihr verschlüsseltes Objekt. Dieses kann nur von einem Gesundheitsamt entschlüsselt werden.

Weitere sensible Daten (z. B. politische Meinungen, Religionszugehörigkeit, genetische oder biometrische Informationen) werden von uns grundsätzlich nicht verarbeitet. Wir bitten Sie, uns keine derartigen Daten durch unsere Dienste oder im Zusammenhang mit diesen offenzulegen.

4. Zwecke und Rechtsgrundlagen der Verarbeitungen

 

 

Wir werden Ihre personenbezogenen Daten nur zweckgebunden entsprechend den aufgeführten Rechtsgrundlagen verarbeiten.

Im Folgenden sind Verarbeitungen sowie deren Zwecke und Rechtsgrundlagen dargestellt, welche der Unterstützung der Kontaktnachverfolgung dienen.

Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung (Art. 6 (1) 1 a) DSGVO).

Ziff. Verarbeitung und Zweck Rechtsgrundlage Verantwortlicher
(1) Wenn Sie bei einer Betreiber:in einchecken, erhebt diese mittels luca Ihre Aufenthaltsdaten sowie ggf. Zusätzliche Eingabedaten. Letztere werden nach dem Check-In optional erhoben und bei einer Anfrage eines Gesundheitsamts mit diesem geteilt, unter der Voraussetzung, dass sich die Betreiber:in dafür entscheidet.

Diese Daten werden zum Zweck der digitalen Kontakterfassung erhoben und verarbeitet.

Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung (Art. 6 (1) 1 a) DSGVO). Betreiber:innen

Wir verarbeiten die Daten auf Basis des Auftragsverarbeitungsvertrags zwischen der betreffenden Betreiber:in und uns.

(2) Sofern Sie selbst den QR-Code der Betreiber:in scannen (das Vorhalten der Smartphonekamera über den QR-Code) möchten, um den Check-In durchzuführen, erfolgt dies unter Nutzung Ihrer Kamera. Nur der QR-Code wird dabei eingelesen. Im Umfeld befindliche Daten werden nicht erfasst.

Dies dient dem Zweck sich bei einer Betreiber:in einzuchecken.

Art. 6 (1) 1 a) DSGVO:

Einwilligung durch Einschalten der Kamerafunktion, ggf. nach Aufforderung in der App.

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Kamera-Funktion ausschalten.

Betreiber:innen

Wir verarbeiten die Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen der be-treffenden Betreiber:in und uns.

(3) Zugleich werden bei Ihrem Check-In Ihre Funktionalen Daten an Betreiber:innen übermittelt, um die Verknüpfung zwischen Ihnen und Ihrem Aufenthalt zu erstellen. Art. 6 (1) 1 b) DSGVO:

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App

culture4life GmbH (wir)
Sie können sich freiwillig dafür entscheiden, dass Ihr 2G/ 3G Status bei einem Check-In mit den Einlassbestimmungen des Standortes abgeglichen wird. In Ihrer App wird angezeigt, ob Sie die Einlassbestimmungen erfüllen. Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch Aktivieren der 2G / 3G Funktion

 

Betreiber:innen

Wir verarbeiten die Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen der be-treffenden Betreiber:in und uns.

(6) Den Check-Out können Sie manuell in Ihrer App durchführen. Zudem kann Sie die Betreiber:in auschecken.

Dies dient dem Zweck der Ermittlung des Zeitraums Ihres Aufenthaltes.

Betreiber:innen

Wir verarbeiten die Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen der be-treffenden Betreiber:in und uns.

Bei vielen Lokationen können Sie alternativ zum manuellen Check-Out auch das Geo-Fencing nutzen. Hierfür nutzen Sie die Ortungsdienste Ihres Smartphones. Nur die Information, zu welchem Zeitpunkt Sie den Radius der Lokation der Betreiber:in verlassen, wird gespeichert.

Dies dient dem Zweck der Ermittlung des Zeitraums Ihres Aufenthaltes

Art. 6 (1) 1 a) DSGVO:

Einwilligung durch Einschalten der Ortungsdienste, ggf. nach Aufforderung in der App.

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie die Funktion des automatischen Check-Outs oder Ihre Ortungsdienste-Funktion ausschalten.

Betreiber:innen

Wir verarbeiten die Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen der be-treffenden Betreiber:in und uns.

(8)

 

Ihre Aufenthaltsdaten stehen Ihnen zur Ansicht in Klarform innerhalb der Historie in der App zur Verfügung. Der Zweck dahinter ist Ihnen jederzeit zu ermöglichen die Richtigkeit Ihres Aufenthalts zu kontrollieren und Ihnen die Auskunft der noch gespeicherten Aufenthaltsdaten zur Verfügung zu stellen. Art. 6 (1) 1 b) DSGVO:

Auf Grundlage der zwischen Ihnen und uns geltenden Nutzungsbedingungen für die luca App

culture4life GmbH (wir)
(9) Sofern sich ein Gesundheitsamt mit der Bitte um das Teilen Ihrer Besuchshistorie bei Ihnen meldet, können Sie dies freiwillig über die luca App durchführen. Dann werden Ihre Kontaktdaten, Funktionalen Daten sowie die Aufenthaltsdaten für den ausgewählten Zeitraum zum Zwecke der digitalen Kontaktnachverfolgung an das jeweilige Gesundheitsamt übermittelt. Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO:

Ausdrückliche Einwilligung, weil wir auf Ihren Wunsch hin ein Gesundheitsdatum an ein Gesundheitsamt übertragen sollen

culture4life GmbH (wir)
(10) Eine durch Sie aufgesuchte Betreiber:in kann um Übermittlung der Besucherdaten für einen bestimmten Zeitraum von einem Gesundheitsamt angefragt werden. Dabei werden Ihre Kontaktdaten, Funktionalen Daten, Aufenthaltsdaten und ggf. Zusätzliche Eingabedaten(soweit sich die Betreiber:in für die Erhebung und Übermittlung dieser entscheidet) zum Zwecke der digitalen Kontaktnachverfolgung an das Gesundheitsamt übermittelt. Die Übermittlung erfolgt sofern Betreiber und Gesundheitsamt die Entschlüsselung der Daten vollziehen. Die Verarbeitung geschieht auf Basis der für die Betreiber:innen geltenden Grundlage. Bei freiwillig luca nutzenden Betreiber:innen ist dies Ihre Einwilligung (Art. 6 (1) 1 a) DSGVO). Betreiber:innen

Wir verarbeiten die Da-ten auf Basis des Auf-tragsverarbeitungsver-trags zwischen der be-treffenden Betreiber:in und uns.

5. Empfänger:innen personenbezogener Daten

 

 

Um die zuvor in dieser Datenschutzerklärung beschriebenen Zwecke zu erreichen, geben wir Ihre personenbezogenen Daten an folgende Empfänger:innen weiter, mit der Maßgabe, dass diese Daten in keiner anderen Weise als zur Erbringung von Dienstleistungen für uns verwenden dürfen (als sogenannte Auftragsverarbeiter im Sinne des Art. 28 DSGVO):

Durch Anbieter:innen erbrachte Leistungen Anbieter:innen Verarbeitete Daten
Softwarewartungs- und Softwarebetriebsleistungen neXenio GmbH, Charlottenstr. 59, 10117 Berlin Kontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten

(Die Verarbeitung beschränkt sich auf eine mögliche Einsichtnahme in die gelisteten Daten im Rahmen der Durchführung der Softwarewartungs- und Softwarebetriebsdienstleistungen)

IT-Infrastrukturleistungen (Server) Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn

 

Kontaktdaten, Funktionale Daten, Aufenthaltsdaten, Zusätzliche Eingabedaten

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

SMS-Versandleistungen Message Mobile GmbH, Stresemannstraße 6, 21335 Lüneburg Telefonnummer
SMS-Versandleistungen Sinch Germany GmbH, Wilhelm-Wagenfeld-Str. 20, 80807 München Telefonnummer

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. Wir geben Ihre personenbezogenen Daten an folgende Empfänger:innen weiter:

  • Betreiber:innen, mit denen wir kooperieren und deren Lokationen Sie unter Nutzung der luca App aufgesucht haben,
  • Gesundheitsämter, denen Sie Ihre Besuchshistorie aus der luca App freigeben bzw. falls Sie als potenzielle Kontaktperson zu einer infizierten Person qualifiziert werden, um u. a. die Kontaktnachverfolgung nach den im Zusammenhang mit der Bekämpfung von COVID-Infektionen erlassenen Verordnungen der Länder zu ermöglichen.


6. Dauer der Speicherung personenbezogener Daten

 

 

Ihre personenbezogenen Daten werden nach Ablauf der nachfolgend beschriebenen Fristen automatisch gelöscht:

  • Kontaktdaten und Funktionale Daten:
    • Innerhalb der luca App finden Sie einen sogenannten Löschbutton. Mit diesem können Sie die vollständige Löschung Ihrer Kontaktdaten und Funktionalen Daten eigenständig durchführen.
    • Die zur Kontaktnachverfolgung erhobenen Daten verbleiben bis zu 28 Tage nach Ihrem letzten Aufenthalt bei einer Betreiber:in im luca System. Ihre Daten können in dieser Zeit an ein Gesundheitsamt übermittelt werden, sodass Sie ggf. von einem Gesundheitsamt kontaktiert werden können. Dies ist notwendig, um einer etwaigen gesetzlichen Anforderung der Kontaktnachverfolgung durch Bereitstellen der Aufenthaltsdaten und damit auch der Kontaktdaten der letzten 28 Tage durch Betreiber:innen gerecht zu werden.
    • Bei Deinstallation der luca App werden alle lokal in der App gespeicherten Daten sofort gelöscht.  Ebenfalls wird Ihr in der App hinterlegte Nutzer-Schlüssel gelöscht. Ohne diesen Schlüssel können Ihre Kontaktdaten nicht mehr genutzt, zugeordnet und entschlüsselt werden.
  • Aufenthaltsdaten und Zusätzliche Eingabedaten: Ihre Aufenthaltsdaten und Eingabedaten, die durch bzw. im Zusammenhang mit dem Einchecken bei einer Betreiber:in generiert werden, werden nach 28 Tagen gelöscht.
  • Zusätzlich zur Verifikation verarbeitete Telefonnummer: Ihre Telefonnummer wird von unseren Unterauftragnehmern Message Mobile GmbH und der Deutsche Telekom AG ausschließlich zur Verifizierung verarbeitet. Diese wird bis zu 45 Tagen in deren Produktivdatenbanken, bzw. bis zu 60 Tagen in deren Archivdatenbanken gespeichert. Eine darüberhinausgehende Speicherung erfolgt nicht.

Die luca App bietet Ihnen die, Möglichkeit, Ihr Test-, Genesenen- und Impfzertifikat in Ihrer luca App zu hinterlegen. Das Zertifikat ist nur lokal auf Ihrem eigenen Smartphone gespeichert und nicht mit der Account Funktion verbunden 

1. Datenkategorien

Sofern Sie die Funktion zur Hinterlegung Ihres Testergebnisses, Impf- oder Genesenenausweises nutzen, erheben wir zudem auf Basis Ihrer Einwilligung folgende Daten:

Testergebnis-/ Genesenen-/ Impfdokument: Vor- und Nachname sowie Geburtsdatum, Infektionsstatus, die Kennnummer Ihres Dokuments sowie zusätzlich:

    1. Bei dem Testergebnis: Typ des Tests (PCR oder Antigentest), Angaben zum Testhersteller, zur Teststelle sowie zur Ausgabestelle des Zertifikats, Test- und Ausstellungszeitpunkt
    2. Bei dem Genesenenausweis: Datum der Positivtestung, Angaben zur Herausgabestelle, Gültigkeitszeitraum
    3. Bei dem Impfausweis: Datum der Impfung, Anzahl der Impfungen, Angaben zum Impfstoff (Krankheit, Hersteller, Produkt), Angaben zur Herausgabestelle

2. Prozessbeschreibung

 

 

Die luca App bietet Ihnen eine Möglichkeit, ein Testergebnis bzw. einen Impf- oder Genesenenausweis (im Folgenden „Dokument“) in der luca App zu speichern und bei Bedarf autorisierten Stellen vorzuzeigen. Dies beruht nicht mehr auf dem Zweck der Unterstützung der Kontaktnachverfolgung und dient Ihnen lediglich als eine Art Wallet (einheitlicher Ablageort). Sie können dann bei Ihrem Check-in direkt in der luca App auch auf das ggf. für den Zutritt erforderliche Dokument zugreifen. Das jeweilige Dokument wird weder an die Betreiber:in noch an das Gesundheitsamt übermittelt. Das Dokument verbleibt ausschließlich in Ihrer luca App und wird nicht von uns auf dem Server hinterlegt. Wir haben somit keinen Zugriff auf Ihre in diesem Zusammenhang abgelegten Daten. Um ein Dokument einzupflegen, können Sie dies über den QR-Code oder den von der ausgebenden Stelle bereitgestellten Link auf Ihrem Testergebnis oder digitalen Genesenen-/ Impfausweis durchführen. Sofern Sie sich für die Nutzung dieser Funktion entscheidest, ist ggf. das Einschalten der Kamera deines Smartphones erforderlich, um den QR-Code zu scannen. Das negative Testergebnis bzw. der Genesenen- oder Impfstatus wird lokal auf deinem Endgerät in der luca App validiert und gespeichert. Die Validierung erfolgt durch den Abgleich des Vor- und Nachnamens mit den in der App hinterlegten Daten lokal auf Ihrem Endgerät. Ebenfalls wird die Gültigkeit, die in dem QR-Code enthaltenen elektronischen Signatur sowie die Echtheit des Dokuments überprüft. Zur Vorbeugung von Missbrauch, sodass das Dokument nicht mehrfach von unterschiedlichen Personen in der luca App hinterlegt werden kann, wird von Ihrer luca App eine pseudonymisierte Kennung erstellt und an das luca-System übertragen. Nur diese Kennung wird im luca-System gespeichert. Diese können wir Ihnen nicht zuordnen. Jedes Dokument kann zeitgleich nur einmal hinterlegt werden. Somit ist eine Verwendung desselben Dokuments auf mehreren Endgeräten nicht möglich.

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO

 

 

Sofern Sie sich für das Hinterlegen Ihres COVID-Testergebnisses oder des digitalen Genesenen- oder Impfausweises in der luca App entscheiden, erfolgt dies ebenfalls gemäß Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO nur auf Grundlage Ihrer ausdrücklichen Einwilligung.

4. Zwecke und Rechtsgrundlagen der Verarbeitungen

Im Folgenden sind Verarbeitungen sowie deren ergänzende Zwecke und Rechtsgrundlagen dargestellt, welche dem Zweck der einfachen und lokalen Hinterlegung und Speicherung eines Testergebnisses, eines Impf- oder Genesenausweises (im Folgenden „Dokument“) dient. Dieses Dokument können Sie bei Bedarf autorisierten Stellen vorzeigen.

Ziff. Verarbeitung und Zweck Rechtsgrundlage Verantwortlicher
(1) Möchten Sie Ihr Dokument in der luca App auf Ihrem Smartphone hinterlegen, werden die Daten der Testergebnis-/ Genesenen-/ Impfdokumente lokal an Ihr Smartphone übermittelt.

Dies dient dem Zwecke der Hinterlegung des Dokuments, sodass dieses nach Wunsch vorgezeigt werden kann.

Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch das Einfügen des Dokuments. culture4life GmbH (wir)
(2) Sofern Sie Ihr Dokument per Scannen des QR-Codes (das Vorhalten der Smartphone-Kamera über den QR-Code) in der luca App hinterlegen wollen, ist das Einschalten Ihrer Kamera notwendig. Nur der QR-Code wird dabei eingelesen. Im Umfeld befindliche Daten werden nicht erfasst.

Dies dient dem Zwecke der Hinterlegung des Dokuments, sodass dieses nach Wunsch vorgezeigt werden kann.

Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO:

Einwilligung durch Einschalten der Kamerafunktion, ggf. nach Aufforderung in der App.

Sie können die Einwilligung jederzeit für die Zukunft widerrufen, indem Sie Ihre Kamerafunktion ausschalten. (siehe auch Teil D. 7.)

culture4life GmbH (wir)
(3) Nach dem Einfügen des Dokuments in Ihre luca App gleicht Ihre App den Vor- und Nachnamen von dem Dokument mit Ihren Eingaben in der luca App ab. Dies erfolgt ausschließlich lokal auf Ihrem Endgerät und dient der Zuordnung zu Ihrer Person. Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch das Einfügen des Dokuments. culture4life GmbH (wir)
(4) Ebenfalls wird die Gültigkeit, die in dem QR-Code enthaltenen elektronischen Signaturen sowie die Echtheit des Dokuments überprüft. Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch das Einfügen des Dokuments. culture4life GmbH (wir)
(5) Zur Vorbeugung von Missbrauch, sodass das Dokument nicht mehrfach von unterschiedlichen Personen in der luca App hinterlegt werden kann, wird von Ihrer luca App eine pseudonymisierte Kennung erstellt und an das luca-System übertragen und dort gespeichert. Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO: Einwilligung durch das Einfügen des Dokuments. culture4life GmbH (wir)

5. Empfänger:innen personenbezogener Daten

 

 

Durch Anbieter erbrachte Leistungen Anbieter Verarbeitete Daten
Softwarewartungs- und Softwarebetriebsleistungen neXenio GmbH, Charlottenstr. 59, 10117 Berlin Kennung der Testergebnis-, Genesenen- oder Impfdokumente

(Die Verarbeitung beschränkt sich auf eine mögliche Einsichtnahme in die gelisteten Daten im Rahmen der Durchführung der Softwarewartungs- und Softwarebetriebsdienstleistungen)

IT-Infrastrukturleistungen (Server) Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn

 

Kennung der Testergebnis-, Genesenen- oder Impfdokumente

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud)

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können.

6. Dauer der Speicherung personenbezogener Daten

 

 

Ein lokal in der luca App hinterlegter Antigen-/ PCR-Test wird automatisch nach 48 (Antigentest)/ 72 (PCR-Test) Stunden gelöscht. Alle lokal hinterlegten Dokumente werden automatisch gelöscht, sobald die Gültigkeit des Dokuments überschritten wird. Sie können Ihr COVID-Testergebnis, den Genesenen- oder Impfstatus ebenfalls jederzeit innerhalb Ihrer App manuell löschen.

Die pseudonymisierte Kennung des Dokuments wird automatisch nach 72 Stunden aus dem luca-System gelöscht. Die Kennung des jeweiligen Dokuments dient ausschließlich der Vorbeugung von Missbrauch, sodass das jeweilige Dokument nicht mehrfach ggf. von unterschiedlichen Personen in der luca App hinterlegt werden kann.

Die luca App bietet Ihnen die Möglichkeit, ein Ausweisdokument zu nutzen, um einen Identitätsnachweis in Ihrer luca App zu hinterlegen. So können Sie sich beispielsweise bei einem Besuch in einem luca-Standort über luca authentifizieren und so die Identität Ihres Impf-, Genesenen- oder Testzertifikates nachweisen. Dieser Identitätsnachweis ist nur lokal auf Ihrem eigenen Smartphone gespeichert und nicht mit der Account Funktion verbunden.

1. Datenkategorien 

 

 

Sofern Sie nach  Art. 6 (1) 1 a) DSGVO ausdrücklich eingewilligt und einen Identitätsnachweis in Ihrer luca App hinterlegt haben, werden folgende Daten verarbeitet und ggf. bei Besuch einer Veranstaltung oder eines Restaurants mit der Betreiber:in geteilt:   

    • Vor- und Nachname 
    • Daten, die Ihr Ausweisdokument enthalten und von unserem Auftragsverarbeiter verarbeitet werden:Fotos und Aufnahmen Ihrer Person und der verwendeten Ausweisdokumente sowie alle personenbezogenen Daten, die auf dem Ausweisdokument enthalten sind (Nummer des Dokuments, Vorname, Nachname, Adresse, Geburtsdatum, Geburtsort, Staatsangehörigkeit, Gültigkeitsdatum) 
    • Signierte Daten: Kennnummer, Ihr Identitätsnachweis und dessen Daten (Zugang nur über das Entsperren Ihres Telefons durch Face ID, Fingerabdruck oder Passwort), sowie zusätzlich Ihren Vor-, Nachnamen und Ihr Geburtsdatum 
    • Funktionale Daten: Datenzuordnungs-IDs, Schlüssel und QR-Codes. 

2. Prozessbeschreibung 

 

 

Die luca App bietet Ihnen eine Möglichkeit, ein Ausweisdokument zu nutzen, um in der luca App einen digitalen Identitätsnachweis zu hinterlegen. Die Funktionalität ist nur für Endgeräte mit aktivierter Sicherheitsfunktion und sicherer Anmeldung mittels bspw. Face ID, Fingerabdrucksensor oder Passwort freigeschaltet. 

Sofern Sie sich für die Nutzung dieser Funktion entscheidest, wird Ihnen ein Code bzw. Link angezeigt, den Sie wiederum in der IDnow-App eingeben bzw. direkt klicken kannst. Sie werden anschließend zur Installation der IDnow App aufgefordert, um danach mittels des Codes den Identifikationsprozess zu starten. Für die Identitätsverifizierung benötigt IDnow nun ein Foto der Vorder- und Rückseite Ihres Ausweisdokumentes sowie ein Foto von Ihnen.  

Nach erfolgreicher Identifizierung schickt IDnow verschlüsselt Ihr signiertes Datenobjekt an das luca-System zurück. Das luca-System übergibt dieses Ihrer eigenen App. Eine Speicherung der Daten Ihres Ausweisdokumentes im luca-System findet nach der erfolgreichen Übertragung nicht statt. Ihr signiertes Datenobjekt ist so verschlüsselt, dass nur Ihre eigene App die Daten entschlüsseln kann. Das luca-System kann Ihre Daten nicht entschlüsseln.  

Bei Übermittlung des signierten Datenobjektes wird Ihnen ebenfalls ein Sperrcode angezeigt. Bei Missbrauch oder Verlust Ihres Telefons können Sie diesen uns zukommen lassen. Wir sperren daraufhin Ihren Identitätsnachweis für das luca-System.  

Sobald Ihr Identitätsnachweis auf Ihrem Endgerät entschlüsselt und in Ihrer App hinterlegt wurde, können Sie basierend auf Ihrer Einwilligung bei Besuch eines Standortes (Restaurant, Veranstaltung) die Identität Ihres ebenfalls in der App hinterlegten Impf-/ Genesenen- oder Testzertifikats bestätigen. Ihre luca ID wird in der luca App angezeigt und es kann ein QR-Code zum Nachweis angezeigt werden. Dieser QR-Code kann von einer luca Location eingescannt werden. Dabei wird der von IDnow signierte Vor- und Nachnamen sowie Ihr Geburtstag an die Betreiber:in mittels des luca-Systemsübermittelt. Eine Speicherung Ihrer Daten findet nicht statt.  

Sie können Ihre Einwilligung jederzeit widerrufen, indem Sie Ihren lokal in der App hinterlegten Identitätsnachweis löschen.

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO 

 

 

Sofern Sie sich für das Hinterlegen Ihres Identitätsnachweises in der luca App entscheiden, erfolgt dies ebenfalls gemäß Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO nur auf Grundlage Ihrer ausdrücklichen Einwilligung.

Zu den Daten, die Ihren Ausweisdokument enthält, gehören auch biometrische Daten, die gem. Art. 9 DSGVO zu besonderen Kategorien personenbezogener Daten gehören.

4. Zwecke und Rechtsgrundlagen der Verarbeitungen  

 

 

Im Folgenden sind Verarbeitungen sowie deren Zwecke und Rechtsgrundlagen dargestellt, welche dem Zweck der Hinterlegung des Identitätsnachweises sowie Vorzeigen Ihrer Identität bei einer Betreiber:in, verbunden hier mit dem Teilen der benannten Daten, dient.

Ziff.  Verarbeitung und Zweck  Rechtsgrundlage  Verantwortlicher 
(1)  Sofern Sie Ihren Identitätsnachweis hinterlegen wollen, tauscht Ihre luca App mit unserem Unterauftragnehmer (IDnow) zunächst Ihren Vor- und Nachnamen aus. Ihr Vor- und Nachname wird von IDnow mit den Daten Ihres Ausweisdokumentes (nach Übermittlung) abgeglichen.   Art. 6 (1) 1 a) DSGVO (Einwilligung)  culture4life GmbH (wir) 
(2)  Im Anschluss nutzen Sie die IDnow App, um Aufnahmen Ihrer Person und Ihres Ausweisdokumentes hochzuladen. IDnow verifiziert nun Ihr Ausweisdokument: 

Aus den von Ihnen erstellten Bildern Ihres Ausweisdokumentes werden die Daten elektronisch ausgelesen und es wird Ihr Porträtbild mit den Bildern Ihres Ausweisdokumentes abgeglichen (Gesichtsabgleich). 

Nach erfolgreicher Identifizierung übermittelt IDnow Ihr verschlüsseltes Datenobjekt (Signierte Daten) über das luca-System an Ihre luca App. 

Art. 9 (2) a) i.V.m. Art. 6 (1) 1 a) DSGVO (ausdrückliche Einwilligung)  culture4life GmbH (wir) 
(3)  Im Rahmen eines Identifizierungs-Vorgangs in der IDnow-App benötigt IDnow den Zugriff auf das Mikrofon und die Kamera. Dies beinhaltet auch den Zugriff auf das Kameralicht, das aktiviert wird, um die Hologramme auf den Ausweisdokumenten besser sichtbar zu machen.  

Die Prüfung und Aufnahmen dieser Sicherheitsmerkmale sind aufgrund der regulatorischen Vorgaben für eine erfolgreiche Identifizierung zwingend notwendig und vorgeschrieben.  

Art. 9 (2) a) iVm Art. 6 (1) 1 a) DSGVO:  

Jede:r Nutzer:in wird vor dem eigentlichen Identifizierungs-Vorgang darauf hingewiesen, dass die App Zugriff auf das Mikrofon und die Kamera braucht. Es muss beides explizit freigeben werden. 

 

 

culture4life GmbH (wir) 
(4)  Beim Besuch einer Veranstaltung oder eines Restaurants können Sie Ihren QR-Code vorzeigen und von der Betreiber:in einscannen lassen. Der Betreiber:in wird dabei Ihr Vor- /Nachname und Ihr Geburtsdatum Ihrer signierten Datenangezeigt. Diese kann beispielsweise nun Ihre Identität mit der Ihres Impf-/ Genesenen- oder Testzertifikates abgleichen. Eine Speicherung der Daten erfolgt nicht.  Art. 6 (1) 1 a) DSGVO (Einwilligung)  culture4life GmbH (wir) 

5. Empfänger:innen personenbezogener Daten 

 

 

Durch Anbieter erbrachte Leistungen  Anbieter Verarbeitete Daten 
Identitätsverifizierungen 

 

IDnow GmbH, Auenstr. 100,  

80469 München 

 

 

Vor- und Nachnamen,  

Daten Ihres Ausweisdokumentes, signierte Daten,  

Die geltenden Datenschutzbestimmungen von IDnow können unter https://go.idnow.de/privacy/de abgerufen werden. Die Speicherdauer Ihrer an IDnow übermittelten Daten entnehmen Sie F.6. 

Server-Standort: Deutschland 

Softwarewartungs- und Softwarebetriebsleistungen  neXenio GmbH, Charlottenstr. 59, 10117 Berlin  Vor- und Nachnamen, Daten Ihres Ausweisdokumentes, Signierte Daten
IT-Infrastrukturleistungen (Server)  Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn 

 

Vor- und Nachnamen, Daten Ihres Ausweisdokumentes, Signierte Daten

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung Ihre Daten verarbeiten können. 

6. Dauer der Speicherung personenbezogener Daten 

 

 

Ein lokal in der luca App hinterlegter Identitätsnachweis kann jederzeit manuell in Ihrer App gelöscht werden. Löschen Sie Ihre App mittels des in der App zur Verfügung gestellten Lösch-Buttons und/oder Deinstallieren der App auf Ihrem Endgerät, wird Ihr hinterlegter Identitätsnachweis automatisch von Ihrem Endgerät entfernt.  

Nach erfolgreicher Verifizierung werden Ihre Signierten Daten verschlüsselt über das luca-System an Ihre App übertragen. Ihre Daten, die Sie an unseren Auftragsverarbeiter IDnow zum Zwecke der Identifizierung übermittelt haben, werden nach Identifizierung Ihrer Person automatisch, maximal nach 7 Tagen, gelöscht. Das luca-System sowie unser Auftragnehmer IDnow speichern Ihre Signierten Daten nur so lange, bis das Datenobjekt erfolgreich an Ihre App übertragen wurde. Zur Vorbeugung von Missbrauch wird die Kennung Ihres verschlüsselten Datenobjektes im luca-System gespeichert. Nur diese Kennung wird im luca-System gespeichert. Diese können wir Ihnen nur durch Mitteilung Ihres Sperrcodes zuordnen. 

Ein nicht erfolgreicher Identifizierungsversuch wird automatisch nach maximal 48 Stunden aus allen Systemen entfernt. 

Hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten haben Sie folgende in der DSGVO vorgesehenen Rechte, die du für alle Verarbeitungen, für die wir verantwortlich sind, uns gegenüber geltend machen können:

  • Das Recht, eine Aussage darüber zu verlangen, ob Ihre personenbezogenen Daten verarbeitet werden, und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten. Innerhalb der App können Sie sich die bei uns gespeicherten Daten herunterladen, indem Sie den Auskunfts-Button bedienen. Zu den Spezifika der einzelnen Daten seien folgende Ausführungen herangestellt:
    • Wir speichern Ihre Kontaktnachverfolgungsdaten ausschließlich verschlüsselt und besitzen selbst nicht die zur Entschlüsselung notwendigen Schlüssel. Daher können wir nicht nachverfolgen, ob personenbezogene Daten einer bestimmten Person im luca-System verarbeitet werden. Anders als wir selbst können Sie in der eigenen Historie und den eigenen Kontaktdaten alle via der luca App erhobenen und verschlüsselt gespeicherten Daten einsehen.
    • Ihre Test- und Zertifikats-Dokumente werden nur lokal bei Ihnen auf dem Endgerät gespeichert. Wir verfügen nur über die Kennung, die zu Zwecken des Vorbeugens von Missbrauch an uns übermittelt wird. Diese Kennung können wir Ihnen nicht zuordnen.
    • Sofern Sie ein Ausweisdokument hinterlegt haben, das verifiziert wurde, können Sie innerhalb Ihrer App (sowie über den Auskunfts-Button) Ihren IDnow-Identcode sowie den Sperrcode einsehen. Mithilfe dieser Codes können wir für Sie ermitteln, ob Ihre personenbezogenen Daten bei unserem Auftragnehmer Idnow vorliegen.
    • Zu Ihrer Auskunft über Ihre luca Pay-Daten können Sie über den Auskunfts-Button Ihre Nutzerkennung ermitteln. Teilen Sie uns diese mit, können wir als culture4life Ihre Daten bei Rapyd Europe recherchieren und Ihnen darüber Auskunft geben.
  • Das Recht, die Berichtigung Ihrer personenbezogenen Daten zu verlangen, sofern diese unrichtig oder unvollständig sind (Art. 16 DSGVO). Sie können ausschließlich selbst Ihre Kontaktdaten (bis auf die Historie) in der luca App berichtigen. Wir erfüllen dieses Recht bereits durch die bereitgestellten Funktionalitäten. Zur Ausübung müssen Sie nur in die entsprechenden Bereiche innerhalb der luca App gehen und die Korrektur bzw. Änderung vornehmen. Eine Korrektur der Kontaktnachverfolgungsdaten durch uns ist aufgrund der Verschlüsselung der Daten nicht durchführbar.
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass Ihre personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). Diesem Recht kommen wir durch die Bereitstellung eines Löschbuttons nach. Über diesen können Sie die Löschung Ihrer Daten durchführen, wobei die Löschung innerhalb der in Abschnitten C. 5, E. 6, F. 8, G. 9, H. 5. beschriebenen Fristen erfolgt. Zu den Spezifika der einzelnen Daten seien folgende Ausführungen herangestellt:
    • Ihre Kontaktnachverfolgungsdaten können wir selbst aufgrund der Verschlüsselung nicht für Sie ausführen.
    • Ihre Test- und Zertifikatsdokumente sowie Ihr Ausweisdokument liegen nur lokal auf Ihrer App ab und können zusätzlich jederzeit manuell aus der App entfernt werden. Bei Deinstallation der App werden diese mit dem Deinstallationsvorgang entfernt.
  • Das Recht, unter bestimmten Voraussetzungen die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen (Art. 18 DSGVO). Einschränkend gilt:
    • Dieses Recht können wir für die Kontaktnachverfolgungsdaten aufgrund der Verschlüsselung nicht erfüllen, da uns selbst die zur Entschlüsselung notwendigen Schlüssel nicht vorliegen.
    • Eine Einschränkung der Verarbeitung in Bezug auf hochgeladene Dokumente kann unsererseits erfolgen, da diese nur lokal bei Ihnen auf dem Gerät in der luca App abliegen. Sie können diese entsprechend entfernen und so die unerwünschte Verarbeitung vermeiden.
    • Für Ihren Identitätsnachweis findest du in Ihrer App und über den Auskunfts-Button einen Sperrcode, über den wir nach dessen Mitteilung durch dich die Nutzung des Dokuments über die luca App sperren können.
  • Das Recht, eine hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten gegenüber uns erteilte Einwilligung jederzeit zu widerrufen. Dies geschieht für die Zukunft durch Änderungen Ihrer Einstellungen, ebenso wie durch Löschung der hinterlegten Zertifikate, des Ausweisdokuments und Ihrer Zahlungsdaten. Ein solcher Widerruf berührt nicht die Rechtmäßigkeit der Verarbeitung, die bis zu Ihrem Widerruf erfolgt ist. Es sei ergänzend für einzelne Daten folgendes angemerkt:
    • Bitte beachten Sie, dass bei Widerruf die verschlüsselten Kontaktnachverfolgungsdaten aufgrund der Verschlüsselung Ihnen nicht zugeordnet und daher bis zu ihrer automatischen Löschung nicht von einer Verarbeitung ausgeschlossen werden können.

Zur Ausübung dieser Rechte gegenüber uns können Sie sich auch an unsere Datenschutzbeauftragte unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden.

Ungeachtet der vorstehenden Rechte haben Sie das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit einzulegen, beispielsweise bei dem für uns zuständigen Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg:

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, Postfach 10 29 32, 70025 Stuttgart.

Tel.: 0711/615541-0
Fax: 0711/615541-15

poststelle@lfdi.bwl.de

Dies ist die aktuelle Fassung unserer Datenschutzerklärung (gültig ab dem 12.01.2023). Wir behalten uns vor, diese Datenschutzerklärung anzupassen (insbesondere im Falle von Änderungen der Rechtslage oder Änderungen unserer Dienste). Aus diesem Grund empfiehlt es sich diese Datenschutzerklärung in regelmäßigen Abständen abzurufen.