Datenschutzinformationen iStaySafe

Stand: 17. September 2020

1. Gegenstand

Mit iStaySafe wird die Erhebung von Gästedaten erheblich vereinfacht, sowohl für Gäste wie auch für Gastgeber.
Die Erhebung der Daten dient der schnellen Nachverfolgbarkeit von Infektionsketten mit dem COVID-19-Virus. Sollte bei Gast eine Infektion mit dem COVID-19-Virus festgestellt werden, lässt sich anhand der erhobenen Daten feststellen, mit wem der Gast in unseren Räumlichkeiten potentiell in Kontakt gekommen ist. Diese Personen können dann entsprechend informiert werden und sich ebenfalls einem Test unterziehen. Dadurch können Infektionsketten schnell identifiziert und unterbrochen werden.
Wir nehmen den Schutz Ihrer persönlichen Daten sehr ernst. Mit diesen Datenschutzinformationen möchten wir Sie darüber informieren, welche personenbezogenen Daten bei der Nutzung von iStaySafe erhoben werden und wie und zu welchen Zwecken diese verarbeitet werden.
Diese Datenschutzinformationen gelten für die Nutzung der App und der Webseite von iStaySafe.

2. Verantwortlicher und Datenschutzbeauftragter

Verantwortlicher ist die Stoked Digital Solution UG (haftungsbeschränkt), Hedwigstrasse 5, 80636 München, Deutschland, E-Mail: info@istaysafe.de.
Unser Datenschutzbeauftragter ist Rechtsanwalt Christian Schmoll, Kaiserplatz 2, 80803 München, Telefon: +49 89 4622 7322, E-Mail: schmoll@dp.institute.
Jeder Betroffene kann sich jederzeit bei allen Fragen und Anregungen zum Datenschutz direkt an unseren Datenschutzbeauftragten wenden.

3. Als Gast einchecken mit iStaySafe

Wenn Sie mit iStaySafe bei einem Gastronomie- oder Dienstleistungsbetrieb (nachfolgend „Gastgeber“) einchecken, indem Sie unseren QR-Code scannen, fragen wir in einem ersten Schritt lediglich Ihre Mobilfunknummer ab. An Ihre von Ihnen angegebene Mobilfunknummer senden wir einen Bestätigungscode, der dann zur Verifizierung Ihrer Mobilfunknummer bei der Registrierung eingegeben werden muss.
In einem zweiten Schritt werden dann weitere Informationen abgefragt (Name, Vorname, Adresse und gegebenenfalls Tischnummer und Anzahl von Begleitpersonen).

Bestandsdaten (Account)
Ihre Bestandsdaten, also Mobilfunknummer, Name, Adresse und E-Mail-Adresse, werden von uns als Verantwortlichem gespeichert und bleiben bei iStaySafe gespeichert, bis Sie Ihren Account löschen.

Cookie
Bei der Registrierung (also bei Ihrem ersten Einchecken) wird ein Cookie auf Ihrem Gerät platziert, mit dem Sie bei weiteren Reservierungen wiedererkannt werden. Sie müssen dann nicht erneut Ihre Mobilfunknummer verifizieren und Ihre Bestandsdaten angeben, sondern lediglich den QR-Code des jeweiligen Gastgebers scannen – und sind schon eingecheckt.

Aufenthaltsdaten
Die Daten der einzelnen Aufenthalte (Gastgeber, Zeitpunkt des Eincheckens, gegebenenfalls Anzahl der Begleitpersonen und Tischnummer) werden von uns im Auftrag des jeweiligen Gastgebers gespeichert, der gesetzlich zur Erhebung dieser Daten verpflichtet ist.
Bei einem Aufenthalt wird lediglich der Zeitpunkt des Eincheckens gespeichert und Sie werden automatisch nach zwei Stunden ausgecheckt. So Sie sich länger als zwei Stunden bei einem Gastgeber aufhalten sollten, sind Sie verpflichtet, sich erneut einzuchecken.
Wir schließen hierfür mit jedem Gastgeber eine Vereinbarung Auftragsverarbeitung gemäß den Anforderungen des Art. 28 DSGVO ab.
Die Aufenthaltsdaten werden nach 30 Tagen automatisch anonymisiert und können dann nicht mehr einzelnen Personen zugeordnet werden, sondern nur noch aggregiert für statistische Zwecke verarbeitet werden.

Datenweitergabe im Falle einer Infektion
Wenn bei einem Gast eine Infektion mit dem COVID-19-Virus festgestellt werden sollte und wnen dieser Gast seinen Aufenthalt bei dem jeweiligen Gastgeber gegenüber der zuständigen Behörde angibt, wird die Behörde den jeweiligen Gastgeber kontaktieren und zur Übermittlung der sonstigen im jeweiligen Zeitraum bei dem jeweiligen Gastgeber registrierten Gäste auffordern. iStaySafe wird dem Gastgeber diese Daten dann zur Verfügung stellen bzw. diese auf Weisungd es Gastgebers direkt an die zuständige Behörde übermitteln.
Die zuständige Behörde wird die betroffenen Gäste dann kontaktieren und über den potentiellen Kontakt mit einem Infizierten informieren und zur Durchführung eines Tests auf eine Infektion mit dem COVID-19-Virus auffordern.

Löschung
Wenn Sie Ihren Account löschen wollen, kontaktieren Sie uns bitte unter den oben angegebenen Kontaktdaten. Wir weisen darauf hin, dass, sofern Aufenthaltsdaten vorliegen, eine Löschung erst nach Ablauf der Löschfrist von 30 Tagen erfolgen kann, da andernfalls der Gastgeber seiner gesetzlichen Verpflichtung, die Daten vorzuhalten, nicht mehr nachkommen kann.

Rechtsgrundlage
Rechtsgrundlage für die Verarbeitung der Bestandsdaten ist die Vertragserfüllung gemäss Art. 6 Abs. 1 lit. b) DSGVO. Die Verarbeitung der Daten durch uns ist erforderlich, um Ihnen den Service von iStaySafe zur Verfügung stellen zu können.
Auch das Cookie, anhand dessen Sie bei bei weiteren Check-Ins wiedererkannt werden, wird als wesentlicher Teil des Service von iStaySafe zur Vertragserfüllung gemäß Art. 6 Abs. 1 lit. b) DSGVO verarbeitet.
Die Aufenthaltsdaten werden vom jeweiligen Gastgeber als Verantwortlichem erhoben, der dabei iStaySfe als Auftragsverarbeiter auf Basis einer Vereinbarung Auftragsverarbeitung nutzt.
Rechtsgrundlage der Erhebung der Aufenthaltsdaten und gegebenenfalls der Weitergabe an die zuständige Behörde durch den Gastgeber ist, so eine gesetzliche Verpflichtung zur Erhebung bzw. Übermittlung der Daten vorliegt (insbesondere basierend auf dem Infektionsschutzgesetzes - IfSG), Art. 6 Abs. 1 lit. c) DSGVO. Die Datenverarbeitung durch den Gastgeber ist in diesem Fall zur Erfüllung einer gesetzlichen Verpflichtung erforderlich.
So keine zwingende gesetzliche Verpflichtung vorliege, erfolgt die Datenverarbeitung auf Basis von Art. 6 Abs. 1 lit. d). DSGVO, also zum Schutz lebenswichtiger Interessen der Gäste des Gastgebers und anderer Kontaktpersonen der Gäste.

Keine sonstigen Zwecke
Ihre personenbezogenen Daten werden ausschließlich für die hier angegebene Zwecke verarbeitet und für keine weiteren Zwecke. Und Ihre Daten werden, außer im Falle einer Infektion wie oben beschrieben an die zuständige Behörde, auch nicht an Dritte weitergegeben.
Und wenn Ermittlungsbehörden Daten zu anderen Zwecken außerhalb der Nachverfolgung von Infektionsketten von uns herausverlangen, werden wir uns mit allen Mitteln unter Einschaltung anwaltlicher Unterstützung vehement dagegen wehren.

4. iStaySafe als Gastgeber nutzen

Wenn Sie sich als Gastgeber bei iStaySafe registrieren, verarbeiten wir Ihre Bestandsdaten (Name des Betriebs, Ansprechpartner/Kontaktperson, Adresse, Telefon und E-Mail-Adresse) zur Verfügungstellung des Service von iStaySafe.
Rechtsgrundlage für die Verarbeitung der Bestandsdaten ist die Vertragserfüllung gemäss Art. 6 Abs. 1 lit. b) DSGVO. Die Verarbeitung der Daten durch uns ist erforderlich, um Ihnen den Service von iStaySafe zur Verfügung stellen zu können.
Wenn Sie Ihren Account löschen wollen, kontaktieren Sie uns bitte unter den oben angegebenen Kontaktdaten. Wir werden Ihren Account einschließlich aller zugehörigen Aufenthaltsdaten dann unverzüglich löschen. Wir weisen jedoch darauf hin, dass Sie dann Ihrer gesetzlichen Verpflichtung, die Daten vorzuhalten, gegebenenfalls nicht mehr nachkommen können.
Aufenthaltsdaten
Die Daten zu den Aufenthalten der Gäste, die sich bei Ihnen über den QR-Code, den wir Ihnen zur Verfügung stellen, einchecken, verarbeiten wir als Ihr Auftragsverarbeiter in Ihrem Auftrag und auf Ihre Weisung. Diese Auftragsverarbeitung ist in der Vereinbarung Auftragsverarbeitung geregelt, die Teil des Vertragsverhältnisses zwischen uns und Ihnen als Gastgeber und Nutzer von iStaySafe wird.
So Sie von der jeweils zuständigen Behörde kontaktiert und zur Übermittlung der Daten der in einem bestimmten Zeitpunkt bei Ihnen anwesenden Gäste aufgefordert werden, werden wir Ihnen die bei uns diesbezüglich gespeicherten Daten zur Verfügung stellen bzw. diese auf Ihre Weisung hin direkt an die zuständige Behörde übermitteln.
Die Rechtmäßigkeit der Verarbeitung der Aufenthaltsdaten liegt grundsätzlich in Ihrer Verantwortung, iStaySfe wird lediglich als Auftragsverarbeiter für Sie tätig.
Das Vertrauen der Nutzer von iStaySafe ist uns jedoch sehr wichtig, dementsprechend sind Sie verpflichtet, diese Daten ausschließlich für die Identifikation potentieller Kontaktpersonen eines infizierten Gastes zu verwenden und nicht für sonstige Zwecke.


5. Logfiles bei Besuch der Webseite und bei Nutzung der App

Bei jedem Aufruf unserer Internetseite und bei der Nutzung der App erfasst unser System automatisiert Daten und Informationen vom Computersystem des aufrufenden Rechners. Damit die Seiten in Ihrem Browser dargestellt werden können, muss die IP-Adresse des von Ihnen verwendeten Endgeräts verarbeitet werden. Hinzu kommen weitere Informationen über den Browser Ihres Endgeräts.
Die Gewährleistung von Vertraulichkeit und Integrität der mit unseren IT-Systemen verarbeiteten personenbezogenen Daten ist für uns von großer Wichtigkeit. Die Daten werden ferner auch verwendet, um Fehler der Webseiten/App zu beheben.
Für diese Zwecke werden nachfolgende Daten protokolliert:

  • IP-Adresse des aufrufenden Rechners
  • Betriebssystem des aufrufenden Rechners
  • Browser-Version des aufrufenden Rechners
  • Name der abgerufenen Datei
  • Datum und Uhrzeit des Abrufs
  • Übertragene Datenmenge
  • Verweisende URL
Diese Daten werden regelmäßig nach wenigen Tagen wieder gelöscht.
Unsere Webseiten wird auf Basis einer Auftragsverarbeitung gem. Art. 28 DSGVO von einem Dienstleister in der EU gehostet. Eine Übermittlung in Drittländer findet nicht statt.
Rechtsgrundlage für diese Datenverarbeitung ist Art. 6 Abs. 1 lit. f) DSGVO. Unser überwiegendes berechtigtes Interesse ist der Betrieb dieser Internetseite und die Umsetzung der Schutzziele der Vertraulichkeit, Integrität und Verfügbarkeit der Daten.


6. SMS-Versand


Für den Versand der Verifikations-SMS nutzen wir den externen Dienstleister Twilio, Inc. in den USA als Auftragsverarbeiter.
Mit diesem Dienstleister haben wir eine Vereinbarung Auftragsverarbeitung gemäß den Anforderungen des Art. 28 DSGVO abgeschlossen, abrufbar unter https://www.twilio.com/legal/data-protection-addendum.
Im Rahmen des Versandes der Verifikations-SMS erfolgt eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU. Auf Basis der verbindlichen internen Datenschutzvorschriften des Dienstleisters („Binding Corporate Rules“, abrufbar unter https://www.twilio.com/legal/bcr/processor), subsidiär auf Basis der Standardvertragsklauseln (SCCs), bestehen geeignete Garantien für die Datenübermittlung gemäß Art. 46, 47 DSGVO.

7. ReCAPTCHA

Wir verwenden den Service reCAPTCHA der Google Ireland Limited. Dieser Service dient der Unterscheidung, ob die Eingabe in ein Formular durch eine natürliche Person erfolgt oder missbräuchlich durch maschinelle und automatisierte Verarbeitung. Im Rahmen von reCAPTCHA werden Ihre IP-Adresse und weiterer von Google für den Dienst reCAPTCHA benötigter Daten an Google übermittelt.
Weitere Informationen zur Datenverarbeitung durch Google finden Sie hin den Datenschutzinformationen von Google: https://www.google.com/policies/privacy.
Beim Einsatz von reCAPTCHA erfolgt eine Übermittlung personenbezogener Daten in ein Drittland außerhalb der EU auf Basis der EU-Standardvertragsklauseln. Dementsprechend bestehen geeignete Garantien für die Datenübermittlung gemäß Art. 46 DSGVO.
Rechtsgrundlage für diese Datenverarbeitung beim Einsatz von reCAPTCHA ist Art. 6 Abs. 1 lit. f) DSGVO. Unser überwiegendes berechtigtes Interesse ist die Sicherheit unserer Website bzw. App und der Schutz vor Spam.

8. Altersbeschränkung

Unsere Webseite und unsere App ist nicht für die Nutzung durch Kinder unter 16 Jahren bestimmt oder konzipiert. Wir erfassen nicht wissentlich personenbezogene Daten von oder über Personen unter 16 Jahren.

9. Empfänger von Daten

Innerhalb unseres Hauses erhalten diejenigen internen Stellen bzw. Organisationseinheiten Ihre Daten, die diese zur Erfüllung ihrer Aufgaben, gegebenenfalls zur Erfüllung von Verträgen mit Ihnen, zur Datenverarbeitung mit Ihrer Einwilligung oder zur Wahrung unserer überwiegenden berechtigten Interessen, benötigen.
Eine Weitergabe von Daten an Dritte erfolgt nur im Rahmen der gesetzlichen Vorgaben, nämlich, wie oben beschrieben, an die zuständige Behörde im Infektionsfall.
Sofern wir im Rahmen der Bereitstellung der Internetseite und/oder der Bereitstellung unserer Leistungen Dienstleister bzw. Drittanbieter einsetzen, ergreifen wir geeignete rechtliche Vorkehrungen sowie entsprechende technische und organisatorische Maßnahmen, um für den Schutz Ihrer personenbezogenen Daten zu sorgen.
Sofern wir im Rahmen der Bereitstellung der Internetseite und/oder der Bereitstellung unserer Leistungen Inhalte oder Tools von Dienstleistern bzw. Drittanbietern einsetzen und deren genannter Sitz sich in einem Drittland befindet, findet regelmäßig ein Datentransfer in ein Drittland statt. Als Drittländer sind Länder zu verstehen, in denen die DSGVO kein unmittelbar geltendes Recht ist, also Länder außerhalb der EU bzw. des Europäischen Wirtschaftsraums. Die Übermittlung von Daten in Drittstaaten erfolgt ausschließlich, wenn entweder ein angemessenes Datenschutzniveau, eine Einwilligung oder eine sonstige gesetzliche Erlaubnis, insbesondere eine geeignete Garantie gemäß Art. 46 DSGVO vorliegt.

10. Ihre Rechte

Sie haben das Recht auf unentgeltliche Auskunft über Ihre gespeicherten personenbezogenen Daten, deren Herkunft und Empfänger und den Zweck der Datenverarbeitung und ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten. Sie haben zudem das Recht auf Einschränkung der Verarbeitung und auf Widerspruch gegen die Verarbeitung.
Sie haben zudem das Recht, sich Ihre Daten, die wir automatisiert verarbeiten, an sich oder an einen Dritten in einem gängigen, maschinenlesbaren Format aushändigen zu lassen.
Zur Geltendmachung Ihrer Rechte kontaktieren Sie uns bitte unter den oben angegeben Kontaktdaten.
Ihnen steht des Weiteren ein Beschwerderecht bei der zuständigen Datenschutzaufsichtsbehörde zu.

11. Widerruf der Einwilligung

Einige Datenverarbeitungsvorgänge sind nur mit Ihrer ausdrücklichen Einwilligung möglich. Sie können eine bereits erteilte Einwilligung jederzeit widerrufen. Dazu reicht eine formlose Mitteilung per E-Mail an uns unter den oben angegebenen Kontaktdaten. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.

12. Widerspruchsrecht

SOWEIT IHRE DATEN, WIE IN DIESEN DATENSCHUTZINFORMATIONEN ERLÄUTERT, ZUR WAHRUNG UNSERER ÜBERWIEGENDEN BERECHTIGTEN INTERESSEN VERARBEITET WERDEN, KÖNNEN SIE DIESER VERARBEITUNG MIT WIRKUNG FÜR DIE ZUKUNFT WIDERSPRECHEN. KONTAKTIEREN SIE UNS DAZU BITTE UNTER DEN OBEN ANGEGEBENEN KONTAKTDATEN.
DIESES WIDERSPRUCHSRECHT STEHT IHNEN GRUNDSÄTZLICH NUR BEI VORLIEGEN VON GRÜNDEN ZU, DIE SICH AUS IHRER BESONDEREN SITUATION ERGEBEN (ART. 21 ABS. 1 DSGVO). NACH AUSÜBUNG IHRES WIDERSPRUCHSRECHTS WERDEN IHRE PERSONENBEZOGENEN DATEN NICHT WEITER ZU DIESEN ZWECKEN VERARBEITET WERDEN, ES SEI DENN, WIR KÖNNEN ZWINGENDE SCHUTZWÜRDIGE GRÜNDE FÜR DIE VERARBEITUNG NACHWEISEN, DIE IHRE INTERESSEN, RECHTE UND FREIHEITEN ÜBERWIEGEN, ODER WENN DIE VERARBEITUNG DER GELTENDMACHUNG, AUSÜBUNG ODER VERTEIDIGUNG VON RECHTSANSPRÜCHEN DIENT.
ERFOLGT DIE VERARBEITUNG ZU ZWECKEN DER DIREKTWERBUNG, KÖNNEN SIE IHR DIESBEZÜGLICHES WIDERSPRUCHSRECHT JEDERZEIT AUSÜBEN (ART. 21 ABS. 2 DSGVO) UND IHRE PERSONENBEZOGENEN DATEN WERDEN DANN, UNABHÄNGIG VON DEN GRÜNDEN DES WIDERSPRUCHS, NICHT WEITER ZUM ZWECK DER DIREKTWERBUNG VERARBEITET.


13. Automatisierte Entscheidungsfindung

Eine automatisierte Entscheidungsfindung einschließlich eines Profiling wird von uns nicht durchgeführt.

14. Technische und organisatorische Maßnahmen der Datensicherheit

Wir treffen organisatorische, vertragliche und technische Sicherheitsmaßnahmen entsprechend dem Stand der Technik, um sicherzustellen, dass die Vorschriften der Datenschutzgesetze eingehalten werden und um damit die durch uns verarbeiteten Daten gegen zufällige oder vorsätzliche Manipulationen, Verlust, Zerstörung oder gegen den Zugriff unberechtigter Personen zu schützen.
Unsere Webseite und unsere App nutzen aus Sicherheitsgründen und zum Schutz der Übertragung Ihrer Daten eine SSL-Verschlüsselung.

15. Änderung dieser Datenschutzinformationen

Wir behalten uns vor, diese Datenschutzerklärung gelegentlich anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Zurück