Datenschutzerklärung luca Webapp

Zuletzt überarbeitet und aktualisiert am 19. August 2022

Wir, die culture4life GmbH („wir“ oder „uns“), sind zur Wahrung deiner datenschutzrechtlichen Belange im Zusammenhang mit deiner Nutzung unserer Dienste verpflichtet, und sind jederzeit bestrebt, die Sicherheit und Integrität deiner personenbezogenen Daten in Übereinstimmung mit dem anwendbaren Datenschutzrecht zu wahren. Insbesondere zur Ermöglichung der in Ziff. 1.2 der Nutzungsbedingungen beschriebenen Funktionalitäten speichern und verarbeiten wir personenbezogene Daten. Andere Zwecke sind nur mit der Verarbeitung deiner Daten bei dem Besuch unserer Webseite gegeben, um einen sicheren Webauftritt zu gewährleisten, sowie bei der Bearbeitung deiner Anfragen (eben zu Zwecken dieser Bearbeitung). Diese geben wir im Folgenden explizit an. 

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen. So stellen dein Name, deine E-Mail-Adresse, deine Aufenthaltsdaten, aber auch deine IP-Adresse personenbezogene Daten dar, für deren Verarbeitung die Datenschutzgrundverordnung (im Folgenden DSGVO) enge Grenzen setzt. Selbst wenn diese Daten, etwa durch Verschlüsselung, pseudonymisiert werden (d.h. dir nicht sofort, sondern nur durch eine Kombination von Daten und Schlüsseln zugeordnet werden können), sind diese datenschutzrechtlich ebenso zu schützen und wie Klardaten zu behandeln. Die Vorgaben der DSGVO zum Umgang mit diesen Daten treffen vor allem den Verantwortlichen, also denjenigen, der die Daten erhebt und verarbeitet. Sofern der Verantwortliche die Daten zur Erbringung einer Leistung an Dienstleister weitergibt, so muss dies dir als betroffener Person gegenüber transparent gemacht werden. Der jeweilige Dienstleister muss dabei an dieselben Standards wie der Verantwortliche gebunden und von diesem kontrolliert werden.  

Im Folgenden beschreiben wir konkret, welche Daten wir auf welcher Grundlage und zu welchen Zwecken erheben und verarbeiten, an welche Dienstleister wir diese weitergeben und welche Rechte dir in Bezug auf deine Daten zustehen. 

Der Verantwortliche für die Verarbeitung personenbezogener Daten, die von uns direkt erhoben werden, ist:

culture4life GmbH
Mörikestraße 67
70199 Stuttgart
Deutschland
info@culture4life.de

Unsere Datenschutzbeauftragte erreichen Sie an unserem Berliner Standort wie folgt:

culture4life GmbH
Datenschutzbeauftragte
Charlottenstraße 59
10117 Berlin
Deutschland
privacy@culture4life.de

Die Webapp bietet dir die Möglichkeit, in verschiedenen Locations in Zusammenarbeit mit dem Zahlungsdienstleister Rapyd Europe digital zu bezahlen. 

1. Datenkategorien 

 

 

Sofern du über das luca-System eine Zahlung durchführen möchtest, werden folgende Daten verarbeitet und ggf. beim Bezahlvorgang mit der Betreiber:in und mit dem eingesetzten Zahlungsdienstleister geteilt:   

  • Zahlungsmittelinformationen: Bank- und Rechnungskontodaten, Kreditkarteninformationen, Name der Karteninhabers:in  
  • Informationen über die Transaktion mit der Betreiber:in: Transaktion-ID, Uhrzeit, Datum der Transaktion, Rechnungsbetrag, Name bzw. Bezeichnung der Betreiber:innen 

Bei Nutzung dieser Features werden temporäre Nutzungsdaten erhoben:
Daten, die bei der Nutzung der luca App anfallen können, also IP-Adresse, IP-Standort, Art und Version des eingesetzten Endgeräts, Informationen zum genutzten mobilen Netzwerk, Zeitzonen-Einstellungen, Betriebssystem und Plattform. 

2. Prozessbeschreibung 

 

 

Bei deinem Besuch eines Restaurants oder einer Veranstaltung (Betreiber:in) kannst du dich entscheiden, die Rechnung mittels luca Pay zu begleichen. Die Betreiber:in stellt dir einen QR-Code zur Verfügung, der beispielsweise an einem Tisch platziert ist und den offenen Rechnungsbetrag deiner Bestellung enthält.  

Nach dem Scannen des QR-Codes wirst du zur luca-Webseite weitergeleitet. Dort werden dir die von der Betreiber:in hinterlegten Informationen zu deiner Rechnung angezeigt. Du kannst entweder den offenen Betrag des Tisches sehen oder selbst einen Betrag auswählen. Zusätzlich kannst du hier noch ein Trinkgeld in gewünschter Höhe vergeben. 

Durch Bestätigung der Rechnungssumme und des Trinkgeldes wirst du zu dem Zahlungsdienstleister Rapyd Europe automatisch weitergeleitet. Dort siehst du erneut zur Kontrolle den Zahlungsbetrag und Empfänger. Dir stehen u.a. Masterkarte, Visakarte und ApplePay als Zahlungsmittel zur Verfügung. Nach Auswahl kannst du deine Zahlungsmittelinformationen eingeben. Durch eine abschließende Bestätigung deinerseits wird deine Zahlung in eigener datenschutzrechtlicher Verantwortung der Betreiber:in über den Zahlungsdienst Rapyd Europe ausgeführt. Bei Zahlung werden Informationen über die Transaktion mit der Betreiber:in gespeichert. 

3. Besondere Kategorien personenbezogener Daten nach Art. 9 DSGVO 

 

 

Es werden keine Daten der besonderen Kategorien im Sinne des Art. 9 DSGVO verarbeitet. 

4. Zwecke und Rechtsgrundlagen der Verarbeitungen  

 

 

Im Folgenden sind Verarbeitungen sowie deren Zwecke und Rechtsgrundlagen dargestellt, die dem Zwecke einer einmaligen Zahlungstransaktion verbunden mit der Verarbeitung der in Abschnitt D.1 benannten Daten dient.  

Ziff.  Verarbeitung und Zweck  Rechtsgrundlage  Verantwortlicher 
(1)  Sofern du den QR-Code der Betreiber:in scannen (das Vorhalten der Smartphone-Kamera über den QR-Code) möchtest, um die Zahlung durchzuführen, erfolgt dies unter Nutzung deiner Kamera. Nur der QR-Code wird dabei eingelesen. Im Umfeld befindliche Daten werden nicht erfasst.  Art. 6 (1) 1 a) DSGVO: 

Einwilligung durch Einschalten der Kamerafunktion, ggf. nach Aufforderung in der App. 

Du kannst die Einwilligung jederzeit für die Zukunft widerrufen, indem du deine Kamerafunktion ausschaltest. 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

(2)  Wenn du eine Zahlung tätigen möchtest und den Zahlungsvorgang in deiner App gestartet hast (durch Scannen des QR-Codes), werden deine Zahlungsmittelinformationen bei unserem Zahlungsdienstleister Rapyd Europe hinterlegt. Dies geschieht zum Zwecke der Zahlungsdurchführung. 

 

Art. 6 (1) 1 b) DSGVO in Verbindung mit Art. 49 (1.) 1. b und c (Zur Erfüllung der zwischen dir und der Betreiber:in geltenden Verträge) 

 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

(3)  Bei dem Zahlungsvorgang werden Informationen über die Transaktion mit der Betreiber:in gespeichert. Diese dient dem Zweck der Nachvollziehbarkeit und wird für die Zuordnung der Zahlung zu deiner Rechnung benötigt.   Art. 6 (1) 1 b) DSGVO in Verbindung mit Art. 49 (1.) 1. b und c (Zur Erfüllung der zwischen dir und der Betreiber:in geltenden Verträge) 

 

 

 

Betreiber:innen 

 

(Die Verarbeitung erfolgt in eigener Verantwortung der Betreiber:in) 

 

5. Empfänger:innen personenbezogener Daten 

 

 

Durch Anbieter erbrachte Leistungen  Anbieter Verarbeitete Daten 
Durchführung von Zahlungen und zugehörigen Services  Rapyd Europe hf., Suðurlandsbraut 30, 108 Reykjavík, Island  Nutzerkennung, Zahlungsmittelinformationen, Informationen über die Transaktion mit der Betreiber:in, temporäre Nutzungsdaten (in eigener Verantwortung von Rapyd) 

 

Die geltenden Datenschutzbestimmungen von Rapyd Europe können unter https://www.rapyd.net/privacypolicy/ abgerufen werden. Die Speicherdauer deiner an Rapyd übermittelten Daten entnimmst du G.7. 

 

 

Softwarewartungs- und Softwarebetriebsleistungen  neXenio GmbH, Charlottenstr. 59, 10117 Berlin  Nutzerkennung, Informationen über die Transaktion mit der Betreiber:in, temporäre Nutzungsdaten 
IT-Infrastrukturleistungen (Server)  Telekom Deutschland GmbH, Landgrabenweg 151, 53227 Bonn 

 

Nutzerkennung, Informationen über die Transaktion mit der Betreiber:in, temporäre Nutzungsdaten 

 

Server-Standort: Deutschland, Ungarn (Open Telekom Cloud) 

Es wurden Auftragsverarbeitungsverträge nach Art. 28 DSGVO mit diesen Empfänger:innen abgeschlossen, sodass sie nur zweckgebunden und auf unsere Weisung deine Daten verarbeiten können. 

6. Datenübermittlung in Drittländer 

 

 

Durch die Zusammenarbeit mit dem Zahlungsdienstleister Rapyd Europe, der zu einer internationalen Unternehmensgruppe (Rapyd Financial Network (2016) Ltd.) gehört, werden deine personenbezogenen Daten (Nutzerkennung, Zahlungsmittelinformationen, Informationen über die Transaktion mit der Betreiber:in) im Rahmen der Ausübung der Zahlungsdienstleistung unter anderem auch von Dritten verarbeitet. Diese Dritte sind gegebenenfalls in anderen Ländern als du sowie außerhalb des Europäischen Wirtschaftsraums (EWR) und der Schweiz ansässig. In diesen Ländern ist nicht immer ein gleichwertiger Datenschutz gegeben. In Übereinstimmung mit dem Datenschutzrecht für den EWR hat Rapyd Europe konkrete Maßnahmen getroffen, um den Schutz deiner personenbezogenen Daten zu gewährleisten. Insbesondere finden bei der Übermittlung deiner personenbezogenen Daten innerhalb von Unternehmen, die mit Rapyd verbunden sind, die von den zuständigen Aufsichtsbehörden genehmigten aktuellen Standardvertragsklauseln Anwendung. Die Unternehmensgruppe Rapyd Financial Network (2016) Ltd. ist gemäß dem PCI-DSS 2.0 (Payment Card Industry Data Security Standard) zertifiziert. Wende dich an Rapyd Europe (privacy@rapyd.net), wenn du weitere Informationen wünschst. 

7. Dauer der Speicherung personenbezogener Daten 

 

 

Deine personenbezogenen Daten werden nach Ablauf der nachfolgend beschriebenen Fristen automatisch gelöscht: 

  • Zahlungsmittelinformationen und Informationen über die Transaktion mit der Betreiber:in werden von dem Zahlungsdienstleister Rapyd gemäß bankaufsichtsrechtlicher Regulatorik bis zu 10 Jahre gespeichert.  
  • Temporäre Nutzungsdaten: Deine temporären Nutzungsdaten, die bei Nutzung der luca App erhoben werden, werden von uns in Logfiles verarbeitet. Diese werden für maximal 7 Tage gespeichert und anschließend automatisch gelöscht. Temporäre Nutzungsdaten, die bei Nutzung der Webseite von Rapyd Europe erhoben werden, können in Rapyd Europe’s eigener Verantwortung bis zu einem Jahr gespeichert werden.  

8. Rechte der betroffenen Personen 

 

 

Hinsichtlich der Verarbeitung deiner personenbezogenen Daten hast du folgende in der DSGVO vorgesehenen Rechte, die du für alle Verarbeitungen, für die wir verantwortlich sind (s. Teil G. 4.), uns gegenüber geltend machen kannst: 

  • Das Recht, eine Aussage darüber zu verlangen, ob deine personenbezogenen Daten verarbeitet werden, und, sofern dies der Fall ist, das Recht auf Auskunft über diese Daten. 
  • Das Recht, unter bestimmten Voraussetzungen zu verlangen, dass deine personenbezogenen Daten unverzüglich gelöscht werden (sog. „Recht auf Vergessenwerden“) (Art. 17 DSGVO). 

Zur Ausübung dieser Rechte gegenüber uns kannst du dich auch an unsere Datenschutzbeauftragte unter den in Teil B dieser Datenschutzerklärung genannten Kontaktdaten wenden. 

Ungeachtet der vorstehenden Rechte hast du das Recht, Beschwerde bei einer Aufsichtsbehörde für Datenschutz und Informationsfreiheit, beispielsweise bei dem Landesbeauftragten für den Datenschutz und die Informationsfreiheit Baden-Württemberg, einzulegen: 

Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg, Lautenschlagerstraße 20, 70173 Stuttgart, Postfach 10 29 32, 70025 Stuttgart.

Erfassung der Daten bei privaten Veranstaltungen: Sie können ebenfalls eigene private Veranstaltungen erstellen und bei solchen einchecken, etwa wenn Sie eine Geburtstagsfeier zu Hause veranstalten. Beim Einchecken bei solchen privaten Veranstaltungen erhält die private Gastgeber:in Ihren Vor- und Nachnamen. Sie sehen zwar diesen Aufenthaltsort in Ihrer Historie, solche privaten Ereignisse werden aber nicht mit dem Gesundheitsamt geteilt.

Dies ist die aktuelle Fassung unserer Datenschutzerklärung (gültig ab dem 19.08.2022). Wir behalten uns vor, diese Datenschutzerklärung anzupassen (insbesondere im Falle von Änderungen der Rechtslage oder Änderungen unserer Dienste). Aus diesem Grund empfiehlt es sich, diese Datenschutzerklärung in regelmäßigen Abständen abzurufen.