Datenschutzhinweise für die Nutzung der HelloGuest App

 

1 Einleitung

Mit diesen Hinweisen informieren wir über Art, Umfang und Zweck der Verarbeitung personenbezogener Daten bei der Nutzung der bereitgestellten Dienste. Wir informieren ferner über die Rechte, die Betroffenen aufgrund der Datenverarbeitung zustehen.
Die Nutzung der App ist möglich, ohne dass personenbezogene Daten erhoben werden. Für die Nutzung einiger Dienste ist es aber erforderlich, personenbezogene Daten zu verarbeiten. Die Verarbeitung erfolgt dabei entweder auf Grundlage einer gesetzlichen Erlaubnisnorm, oder, für den Fall, dass eine gesetzliche Erlaubnisnorm nicht existiert, auf Grundlage einer Einwilligung, die vom Betroffenen zuvor eingeholt worden ist.

 

2 Begriffsbestimmungen

Die vorliegenden Hinweise und Erklärungen basieren auf den Begrifflichkeiten der Datenschutz-Grundverordnung (DSGVO):

2.1 Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen. Als identifizierbar wird eine natürliche Person angesehen, die direkt oder indirekt, insbesondere mittels Zuordnung zu einer Kennung wie einem Namen, zu einer Kennnummer, zu Standortdaten, zu einer Online-Kennung oder zu einem oder mehreren besonderen Merkmalen, die Ausdruck der physischen, physiologischen, genetischen, psychischen, wirtschaftlichen, kulturellen oder sozialen Identität dieser natürlichen Person sind, identifiziert werden kann.

2.2 Verarbeitung
Verarbeitung ist jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.

2.3 Einschränkung der VerarbeitungEinschränkung der Verarbeitung ist die Markierung gespeicherter personenbezogener Daten mit dem Ziel, ihre künftige Verarbeitung einzuschränken.

2.4 Profiling
Profiling ist jede Art der automatisierten Verarbeitung personenbezogener Daten, die darin besteht, dass diese personenbezogenen Daten verwendet werden, um bestimmte persönliche Aspekte, die sich auf eine natürliche Person beziehen, zu bewerten, insbesondere, um Aspekte bezüglich Arbeitsleistung, wirtschaftlicher Lage, Gesundheit, persönlicher Vorlieben, Interessen, Zuverlässigkeit, Verhalten, Aufenthaltsort oder Ortswechsel dieser natürlichen Person zu analysieren oder vorherzusagen.

2.5 Pseudonymisierung
Pseudonymisierung ist die Verarbeitung personenbezogener Daten in einer Weise, auf welche die personenbezogenen Daten ohne Hinzuziehung zusätzlicher Informationen nicht mehr einer spezifischen betroffenen Person zugeordnet werden können, sofern diese zusätzlichen Informationen gesondert aufbewahrt werden und technischen und organisatorischen Maßnahmen unterliegen, die gewährleisten, dass die personenbezogenen Daten nicht einer identifizierten oder identifizierbaren natürlichen Person zugewiesen werden.

2.6 Verantwortlicher oder für die Verarbeitung Verantwortlicher
Verantwortlicher oder für die Verarbeitung Verantwortlicher ist die natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die allein oder gemeinsam mit anderen über die Zwecke und Mittel der Verarbeitung von personenbezogenen Daten entscheidet. Sind die Zwecke und Mittel dieser Verarbeitung durch das Unionsrecht oder das Recht der Mitgliedstaaten vorgegeben, so kann der Verantwortliche beziehungsweise können die bestimmten Kriterien seiner Benennung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten vorgesehen werden.

2.7 Auftragsverarbeiter
Auftragsverarbeiter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, die personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet.

2.8 Empfänger
Empfänger ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle, der personenbezogene Daten offengelegt werden, unabhängig davon, ob es sich bei ihr um einen Dritten handelt oder nicht. Behörden, die im Rahmen eines bestimmten Untersuchungsauftrags nach dem Unionsrecht oder dem Recht der Mitgliedstaaten möglicherweise personenbezogene Daten erhalten, gelten jedoch nicht als Empfänger.

2.9 Dritter
Dritter ist eine natürliche oder juristische Person, Behörde, Einrichtung oder andere Stelle außer des Nutzers der App, dem Verantwortlichen, dem Auftragsverarbeiter und den Personen, die unter der unmittelbaren Verantwortung des Verantwortlichen oder des Auftragsverarbeiters befugt sind, die personenbezogenen Daten zu verarbeiten.

2.10 Einwilligung
Einwilligung ist jede freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betreffende Person zu verstehen gibt, dass sie mit der Verarbeitung ihrer personenbezogenen Daten einverstanden ist.

 

3 Für den Datenschutz Verantwortlicher
Für den Datenschutz verantwortlich ist die nachfolgende Stelle:
[Name des Unternehmens/Unternehmers]
[Anschrift]
[E-Mail]

Datenschutzverantwortliche
Markus rein!

 

4 Rechtsgrundlage der Verarbeitung

4.1 Die Datenverarbeitung basiert auf Art. 6 Abs. 1 DSGVO. Danach ist die Datenverarbeitung zulässig, wenn diese
 mit Einwilligung des Betroffenen erfolgt (Art. 6 Abs. 1a) DSGVO);
 für die Erfüllung eines Vertrags, dessen Vertragspartei die betroffene Person ist, oder zur Durchführung vorvertraglicher Maßnahmen erforderlich ist (Art. 6 Abs. 1b) DSGVO);
 zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist (Art. 6 Abs. 1c) DSGVO);
 erforderlich ist, um lebenswichtige Interessen des Nutzers oder einer anderen natürlichen Person zu schützen (Art. 6 Abs. 1d) DSGVO);
 zur Wahrung der berechtigten Interessen des Verantwortlichen oder eines Dritten erforderlich ist, sofern nicht die Interessen oder Grundrechte und Grundfreiheiten des Nutzers der App, die den Schutz personenbezogener Daten erfordern, überwiegen, insbesondere dann, wenn es sich um ein Kind handelt (Art. 6 Abs. 1f) DSGVO).

4.2 Soweit die Datenverarbeitung danach nicht auf eine sonstige Rechtsgrundlage gestützt werden kann, erfolgt die Datenverarbeitung grundsätzlich nur mit Einwilligung des Betroffenen, die von diesem vor dem Beginn der Verarbeitung eingeholt und dokumentiert wird.

4.3 Soweit die Datenverarbeitung auf ein berechtigtes Interesse gestützt wird, bedarf es vor Beginn der Verarbeitung zusätzlich einer Abwägung mit den Interessen des Betroffenen, die eine Datenverarbeitung trotzdem ausschließen können, auch wenn die Datenverarbeitung für unternehmerische Zwecke zweckmäßig erscheint. Zweckmäßigkeit reicht in diesem Fall regelmäßig noch nicht aus. Erforderlich ist vielmehr, dass erhebliche Interessen des Unternehmens, seiner Mitarbeiter oder Anteilseigner bzw. Inhaber von der Datenverarbeitung unmittelbar betroffen sind.

 

5 Datenverarbeitung

Bei der Nutzung der App besteht die Möglichkeit, dass sich der Nutzer registriert, Leistungen in Anspruch nimmt (z. B. Warenbestellung) und bezahlt (z. B. Check-out). Art, Umfang und Inhalt der personenbezogenen Daten, die dabei erhoben werden, ergibt sich aus der Eingabemaske.
Die erhobenen Daten werden in jedem Falle ausschließlich für eigene Zwecke erhoben, gespeichert und an Leistungserbringer übermittelt, um Bearbeitungsvorgänge, die der Nutzer veranlasst hat, erledigen zu können.

5.1 Registrierung
Bei der Registrierung werden der Vor- und Nachname des Nutzers, E-Mail-Adresse und optional auch das Geburtsdatum abgefragt und gespeichert.
Soweit bei der Registrierung Angaben freiwillig angegeben werden können, werden diese nur zu dem Zweck verwendet, dem Nutzer Funktionen oder Leistungen anzubieten, die nur registrierten Nutzern angeboten werden können. Eine Übermittlung an Dritte findet nicht statt.
Die Datenverarbeitung erfolgt aufgrund der durch den Nutzer erteilten Einwilligung nach Art. 6 Abs. 1 a) DSGVO.

5.2 Inanspruchnahme von Leistungen (z. B. Bestellungen, Vereinfachung von Abläufen)
Bei der Vornahme von z. B. Bestellung oder der Vereinfachung von Abläufen ist die Eingabe zusätzlicher Angaben (z. B. Registrierungsnummer, Bestellinformationen, etc.) erforderlich, die sich auf die Inanspruchnahme von Leistungen beziehen. Die Informationen werden systemseitig an den vom Nutzer bei der Bestellung ausgewählten Leistungserbringer (z. B. Hotel) übermittelt. Die Datenverarbeitung erfolgt zur Erfüllung einer vertraglichen Leistungspflicht nach Art. 6 Abs. 1 b) DSGVO.

5.3 Datenübermittlung an Zahlungsdienstleister
Bei der Vornahme von Zahlungsvorgängen ist die Eingabe zusätzlicher Angaben, z. B. von Kreditkarteninformationen, wie Vor- und Nachname erforderlich sowie die Eingabe der Kreditkartennummer und der Prüfnummer (Kreditkarteninformationen). Diese Daten werden ausschließlich lokal auf dem Gerät des Nutzers erhoben und unmittelbar an das von dem jeweiligen Leistungserbringer benannten Zahlungsdienstleister übermittelt, aber weder lokal, noch zentral gespeichert. Die Übermittlung der Kreditkarteninformationen an den Zahlungsdienstleister erfolgt nach dem für Kreditkartenunternehmen international geltenden Payment Card Industry Data Security Standard (PCI-Standard).
Für künftige Zahlungsvorgänge übermittelt der Zahlungsdienstleister einen Platzhalter zurück, der zentral gespeichert wird. Anhand des Platzhalters kann der Nutzer aus unterschiedlichen Zahlungsmitteln auswählen, ohne erneut Kreditkarteninformationen eingeben zu müssen.
Die durch die Platzhalter repräsentierten Zahlungsmittel können im Menü unter „meine Zahlungsdaten“ jederzeit eingesehen und gelöscht werden.
Die Erhebung und Datenübermittlung der Kreditkarten und Abrechnungsinformationen erfolgt zur Erfüllung einer vertraglichen Leistungspflicht nach Art. 6 Abs. 1 b) DSGVO. Die Speicherung von Platzhalterinformationen erfolgt aufgrund der durch den Nutzer erteilten Einwilligung nach Art. 6 Abs. 1 a) DSGVO.

 

6 Speicherdauer und Routinemäßige Löschung und Sperrung von personenbezogenen Daten

6.1 Für den Fall, dass die Daten aufgrund gesetzlicher Vorschriften aufbewahrt werden müssen, werden die Daten bis zum Ablauf der Aufbewahrungspflicht gesperrt, so dass eine Datenverarbeitung nicht mehr stattfinden kann und die Daten nur zu dem Zweck verarbeitet werden können, aufgrund dessen die Aufbewahrungspflicht besteht.

6.2 Personenbezogene Daten werden nur für den Zeitraum gespeichert, solange dies für den jeweiligen Zweck der Verarbeitung oder aufgrund von gesetzlichen Vorgaben erforderlich ist.

6.3 Nach Zweckerreichung oder Ablauf der gesetzlich vorgeschriebenen Aufbewahrungsfrist werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gelöscht. Soweit der jeweils vorgesehene Zweck der Verarbeitung erreicht ist, die Daten aufgrund von gesetzlichen Vorgaben aber noch nicht gelöscht werden dürfen, werden die Daten gesperrt.

 

7 Recht auf Auskunft und Berichtigung

7.1 Personen, deren Daten verarbeitet werden, haben einen gesetzlichen Anspruch auf Auskunft, Berichtigung und Löschung ihrer Daten. Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die Geschäftsleitung richtet.

7.2 Im Falle des Auskunftsverlangens ist über folgende Inhalte Auskunft zu erteilen:
 Verarbeitungszwecke;
 Kategorien personenbezogener Daten, die verarbeitet werden;
 Empfänger oder Kategorien von Empfängern, gegenüber denen die personenbezogenen Daten offengelegt worden sind oder noch offengelegt werden, insbesondere bei Empfängern in Drittländern oder bei internationalen Organisationen;
 falls möglich die geplante Dauer, für die die personenbezogenen Daten gespeichert werden, oder, falls dies nicht möglich ist, die Kriterien für die Festlegung dieser Dauer;
 Bestehen eines Rechts auf Berichtigung oder Löschung der sie betreffenden personenbezogenen Daten oder auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;
 Bestehen eines Beschwerderechts bei einer Aufsichtsbehörde;
 wenn die personenbezogenen Daten nicht beim Betroffenen erhoben werden: Alle verfügbaren Informationen über die Herkunft der Daten;
 Bestehen einer automatisierten Entscheidungsfindung einschließlich Profiling gemäß Artikel 22 Abs.1 und 4 DSGVO und — zumindest in diesen Fällen — aussagekräftige Informationen über die involvierte Logik sowie die Tragweite und die angestrebten Auswirkungen einer derartigen Verarbeitung für die betroffene Person; Übermittlung von Daten in ein Drittland oder an eine internationale Organisation sowie über die geeigneten Garantien im Zusammenhang mit der Übermittlung.

7.3 Im Falle des Berichtigungsverlangens sind unrichtige Daten zu berichtigen oder zu vervollständigen.

 

8 Recht auf Löschung

Im Falle des Löschungsverlangens sind die betreffenden personenbezogenen Daten unverzüglich zu löschen,
 wenn die personenbezogenen Daten für Zwecke erhoben oder auf sonstige Weise verarbeitet wurden, für die sie nicht mehr benötigt werden;
 die Daten ausschließlich aufgrund einer Einwilligung des Betroffenen erhoben wurden, die der Betroffene widerrufen hat;
 der Betroffene gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung einlegt und im Falle des Widerrufs nach Art. 21 Abs. 1 DSGVO keine vorrangigen berechtigten Gründe für die Verarbeitung existieren;
 die personenbezogenen Daten unrechtmäßig verarbeitet wurden;
 die Löschung gesetzlich vorgeschrieben ist.
Für den Fall, dass die zu löschenden Daten öffentlich gemacht wurden, werden gemäß Art. 17 Abs. 1 DSGVO unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen ergriffen, um Dritte, welche die veröffentlichten personenbezogenen Daten verarbeiten, über das Löschungsverlangen in Kenntnis zu setzen.

 

9 Recht auf Einschränkung der Verarbeitung

Der Betroffene hat einen gesetzlichen Anspruch, die Einschränkung der Verarbeitung seiner Daten zu verlangen, wenn er die Richtigkeit der personenbezogenen Daten bestreitet oder nach Art. 21 Abs. 1 DSGVO Widerspruch eingelegt hat. Die Verarbeitung ist für diesen Fall für eine Dauer einzuschränken, die erforderlich ist, um die Richtigkeit der personenbezogenen Daten zu überprüfen oder festzustellen, ob Gründe für die Datenverarbeitung existieren, die das Interesse des Betroffenen überwiegen. Ist die Verarbeitung danach unrechtmäßig und lehnt der Betroffene die Löschung seiner Daten aber ab, kann er stattdessen auch die Einschränkung der Verarbeitung seiner Daten verlangen.
Die Verarbeitung der Daten ist auch dann einzuschränken, wenn diese für den Zweck, für den die Daten erhoben wurden, nicht mehr benötigt werden, die Daten aber zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen noch vorgehalten werden müssen.
Die vorstehenden Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die Geschäftsleitung richtet.

 

10 Recht auf Datenübertragbarkeit

Personen, deren Daten verarbeitet werden, haben einen gesetzlichen Anspruch darauf, dass die Daten in einem strukturierten, gängigen und maschinenlesbaren Format übergeben werden oder einem Dritten ohne Behinderung übermittelt werden, wenn die Verarbeitung auf der Einwilligung gemäß Art. 6 Abs. 1 Buchstabe a DSGVO oder Art. 9 Abs. 2 Buchstabe a DSGVO oder auf einem Vertrag gemäß Art. 6 Abs. 1 Buchstabe b DSGVO beruht und die Verarbeitung mithilfe automatisierter Verfahren erfolgt, sofern die Verarbeitung nicht für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, welche dem Verantwortlichen übertragen wurde.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die Geschäftsleitung richtet.

 

11 Recht auf Widerspruch

Betroffene haben einen gesetzlichen Anspruch, der Datenverarbeitung jederzeit zu widersprechen.
Im Falle des Widerspruchs findet eine Verarbeitung der Daten nicht mehr statt, es sei denn, dass nachweislich zwingende schutzwürdige Gründe für die Fortsetzung der Datenverarbeitung bestehen, die den Interessen, Rechten und Freiheiten des Nutzers der App überwiegen, oder die Verarbeitung der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen dient.
Im Falle des Widerspruchs gegen die Verarbeitung für Werbezwecke hat der Widerspruch grundsätzlich Vorrang. Die Daten werden dann für Werbezwecke nicht mehr verwendet.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die Geschäftsleitung richtet.

12 Automatisierte Entscheidungen im Einzelfall einschließlich Profiling

Betroffene haben einen gesetzlichen Anspruch, dass eine sie betreffende Entscheidung, die rechtliche Wirkung entfaltet, nicht ausschließlich auf einer automatisierten Verarbeitung getroffen wird, oder in ähnlicher Weise erheblich beeinträchtigt. Dies gilt nicht für Entscheidungen, die für den Abschluss oder die Erfüllung eines Vertrags mit dem Betroffenen erforderlich ist, oder dies aufgrund von Rechtsvorschriften zulässig ist und angemessene Maßnahmen zur Wahrung der Rechte und Freiheiten sowie der berechtigten Interessen des Nutzers der App enthalten sind oder dies mit ausdrücklicher Einwilligung des Nutzers der App erfolgt.
Ist die Entscheidung für den Abschluss oder die Erfüllung eines Vertrags erforderlich oder erfolgt die automatisierte Entscheidung mit ausdrücklicher Einwilligung des Betroffenen, werden angemessene Maßnahmen ergriffen, um die Rechte und Freiheiten sowie die berechtigten Interessen des Nutzers der App zu wahren, wie z. B. Maßnahmen, nach denen der Betroffene auf das Verfahren einwirken und eingreifen und seinen Standpunkt darlegen kann.
Möchte die betroffene Person Rechte mit Bezug auf automatisierte Entscheidungen geltend machen, kann sie sich hierzu jederzeit an unseren Datenschutzbeauftragten oder einen anderen Mitarbeiter des für die Verarbeitung Verantwortlichen wenden.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die Geschäftsleitung richtet.
Eine automatisierte Entscheidung im Einzelfall findet vorliegend ungeachtet dessen nicht statt.

 

13 Recht auf Widerruf einer datenschutzrechtlichen Einwilligung

Betroffene können eine erteilte Einwilligung in die Datenverarbeitung jederzeit widerrufen.
Die Rechte können jederzeit in Anspruch genommen werden, indem der Betroffene ein entsprechendes Ersuchen an den Verantwortlichen für den Datenschutz oder die Geschäftsleitung richtet.