Datenschutzerklärung zur Verarbeitung personenbezogener Daten — GuideXpress
Diese Datenschutzerklärung wird gemäß den Artikeln 13 und 14 der Verordnung (EU) 2016/679 („DSGVO“) und des italienischen Gesetzesdekrets Nr. 196 vom 30. Juni 2003, geändert durch das Gesetzesdekret Nr. 101 vom 10. August 2018 („Datenschutzkodex“), den Nutzern der mobilen Anwendung GuideXpress und der damit verbundenen Dienste zur Verfügung gestellt. Das Lesen wird empfohlen, bevor Sie ein Konto erstellen, die Geolokalisierung aktivieren oder die Funktionen der App nutzen.
Kurz zusammengefasst
- Wer wir sind: RDITALY S.r.l., mit Sitz in Aosta. Bei Fragen: info@rditaly.com.
- Was wir erfassen: Name, E-Mail, Passwort (verschlüsselt) und, nur wenn Sie es wünschen, Geburtsdatum und Geschlecht. Bei Social Login (Apple, Google, Facebook) erhalten wir nur Name und E-Mail.
- GPS-Position: nur mit Ihrer Erlaubnis. Sie dient für automatische Audioguides (auch im Hintergrund) und um Ihnen Inhalte in der Nähe anzuzeigen. Wir verfolgen Ihre Bewegungen nicht.
- Keine Werbung: wir verkaufen Ihre Daten nicht, betreiben kein Marketing, verwenden keine Werbe-SDKs. Null.
- Anonyme Analytics: wir analysieren die App-Nutzung mit einer zufälligen Kennung, die niemals mit Ihrem Konto verknüpft ist. Sie können jederzeit die Deaktivierung beantragen.
- Push-Benachrichtigungen: Sie können jede Art von Benachrichtigung einzeln aktivieren oder deaktivieren (Stempel, Tour-Feedback, Mitteilungen) in den Einstellungen.
- Ihre Daten gehören Ihnen: Sie können sie bearbeiten, exportieren oder Ihr gesamtes Konto mit einem Fingertipp im Bereich Konto löschen. Die Löschung ist sofort und endgültig.
- Sicherheit: Passwort mit bcrypt verschlüsselt, HTTPS-Verbindungen, Daten im Ruhezustand verschlüsselt (AES-256), Datenbankzugriff pro Benutzer eingeschränkt (Row-Level Security).
- Aufbewahrung: Kontodaten solange Sie registriert sind; Analytics max. 24 Monate; technische Logs max. 12 Monate. Danach wird alles gelöscht.
- Mindestalter: 16 Jahre zur Registrierung. Für jüngere Kinder kann ein Elternteil den Kinder-Hörmodus über sein eigenes Konto aktivieren.
Diese Zusammenfassung dient der Übersichtlichkeit und ersetzt nicht die vollständige Datenschutzerklärung, die folgt.
1. Verantwortlicher für die Verarbeitung
Der Verantwortliche für die Verarbeitung ist:
RDITALY S.r.l.
Sitz: Via Lavoratori Vittime del Col du Mont, 21 e 24 — 11100 Aosta (AO), Italien
Datenschutz-E-Mail: info@rditaly.com
Allgemeine E-Mail: info@rditaly.com
Jeder Verweis auf „wir“, „der Verantwortliche“, „das Unternehmen“ in dieser Erklärung bezieht sich auf RDITALY S.r.l.
2. Datenschutzbeauftragter (DSB)
Der Verantwortliche hat freiwillig einen Datenschutzbeauftragten (DSB) gemäß Art. 37 DSGVO benannt:
Valerio Falcicchio
E-Mail: info@rditaly.com
Die betroffene Person kann sich an den DSB wenden für alle Fragen zur Verarbeitung ihrer personenbezogenen Daten und zur Ausübung ihrer Rechte gemäß der DSGVO.
3. Anwendungsbereich
Diese Datenschutzerklärung gilt für:
- die mobile Anwendung GuideXpress (Apple App Store und Google Play Store);
- die Website guidexpress.com und deren Subdomains;
- das Portal policy.guidexpress.com;
- Zusatzdienste (georeferenzierte Audioguides, Gamification, Push-Benachrichtigungen, geolokalisierte Erkundung).
Sie gilt nicht für Drittanbieter-Websites oder -Dienste, die von der App verlinkt werden.
4. Kategorien verarbeiteter personenbezogener Daten
4.1 Vom Benutzer freiwillig bereitgestellte Daten
E-Mail-/Passwort-Registrierung:
- Vor- und Nachname;
- E-Mail-Adresse;
- Passwort (mit Einweg-Hash verschlüsselt);
- optional: Geburtsdatum und Geschlecht.
Social Login (Apple, Google, Facebook): Anbieter-Kennung, E-Mail, Anzeigename.
Während der Nutzung: Avatar, Systemeinstellungen, Favoriten, Reiserouten, Feedback, Support-Tickets.
4.2 Automatisch erfasste Daten
Geolokalisierung: GPS-Koordinaten in Echtzeit und im Hintergrund (nur mit Erlaubnis des Benutzers).
Gerät und Nutzung: pseudonyme UUID, Gerätemodell, Betriebssystem, App-Version, Sprache, FCM-Token, App-Interaktionen, Absturzberichte.
Gamification: besuchte POIs, erhaltene Stempel, Wallet-Transaktionen, Tour-Abschluss.
4.3 Von Dritten erhaltene Daten
Bei Social Login nur die in Abs. 4.1 genannten Daten gemäß den Einstellungen des Anbieters.
4.4 Besondere Datenkategorien
Der Verantwortliche erhebt und verarbeitet nicht besondere Datenkategorien (Art. 9 DSGVO).
4.5 Daten von Minderjährigen
Die App ist für Benutzer ab 16 Jahren bestimmt. Der Kinder-Hörmodus ist ausschließlich manuell durch den erwachsenen Kontoinhaber aktivierbar. In diesem Szenario werden keine Daten des Minderjährigen erhoben.
Sollte der Verantwortliche Kenntnis von Daten Minderjähriger unter 16 Jahren ohne elterliche Genehmigung erhalten, wird er umgehend die Löschung vornehmen.
5. Zwecke der Verarbeitung und Rechtsgrundlagen
5.1 Erbringung des Dienstes (Art. 6 Abs. 1 lit. b DSGVO)
Konto, App-Funktionen, Audioguides, Favoriten, Gamification, technischer Support.
5.2 Geolokalisierung (Einwilligung — Art. 6 Abs. 1 lit. a DSGVO)
Einwilligung auf zwei Ebenen eingeholt: Betriebssystem-Berechtigung + In-App-Informationsbildschirm.
| Zweck | Typ | Erfasste Daten |
|---|---|---|
| Näherungsinhalte | Kern | GPS-Koordinaten im Speicher (nicht persistent) |
| Automatische Audioguides | Kern | GPS-Koordinaten im Speicher (nicht persistent) |
| POI-Besuchsregistrierung für Stempel | Kern | Besuchsereignis (nicht die Koordinaten) |
| Kartennavigation | Kern | Koordinaten an Mapbox übermittelt |
| Position bei Audio-Ereignissen (Analytics) | Verbesserung | Pseudonymisierte Koordinaten, max. 24 Monate |
Widerruf jederzeit über die Geräteeinstellungen möglich.
5.3 Push-Benachrichtigungen (Einwilligung — Art. 6 Abs. 1 lit. a DSGVO)
Stempel, Tour-Feedback, informative Mitteilungen. Jede Kategorie unabhängig deaktivierbar.
5.4 Gesetzliche Pflichten (Art. 6 Abs. 1 lit. c DSGVO)
Steuerliche, buchhalterische Pflichten und Anfragen von Behörden.
5.5 Berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO)
Sicherheit, Diagnose, pseudonymisierte Analytics. GPS-Koordinaten werden niemals auf Grundlage des berechtigten Interesses verarbeitet.
Widerspruch jederzeit möglich per E-Mail an info@rditaly.com.
5.6 Verteidigung in Gerichtsverfahren (Art. 6 Abs. 1 lit. f DSGVO)
Für die strikt notwendige Dauer.
6. Verarbeitungsmethoden und Sicherheitsmaßnahmen
- Verschlüsselung: TLS 1.2+, AES-256 im Ruhezustand, bcrypt für Passwörter, iOS Keychain / Android Keystore für Anmeldedaten auf dem Gerät.
- Zugriffskontrolle: Row-Level Security, SECURITY DEFINER für kritische Funktionen, max. 5 Anmeldeversuche.
- Pseudonymisierung: separates Analytics-Schema, UUID nicht mit dem Konto verknüpft, keine Zuordnungstabellen.
- Kontinuität: verschlüsselte Backups (max. 30 Tage), Trennung von Entwicklung und Produktion.
- Organisation: Mitarbeiterschulung, Verfahren bei Datenschutzverletzungen (72 Std.), DSFA auf Anfrage verfügbar.
7. Empfänger
| Kategorie | Einrichtungen | Rolle |
|---|---|---|
| Cloud-Infrastruktur | Supabase, Inc. | Auftragsverarbeiter (Art. 28) |
| Push-Benachrichtigungen | Google LLC (FCM) | Auftragsverarbeiter |
| Karten | Mapbox, Inc. | Auftragsverarbeiter |
| Social Login | Apple, Google, Meta | Eigenständige Verantwortliche |
| Ticketing | RDITALY (Perfex CRM) | Intern |
| Berater | Anwaltskanzleien, Steuerberater | Auftragsverarbeiter/Verantwortliche |
| Behörden | Justiz-, Steuerbehörden | Eigenständige Verantwortliche |
Daten werden weder verkauft noch an Dritte weitergegeben zu Marketing- oder Profiling-Zwecken.
8. Übermittlungen außerhalb des EWR
| Anbieter | Daten | Garantie |
|---|---|---|
| Google LLC | FCM-Token, ID, E-Mail, Name | EU-U.S. DPF + SCC |
| Apple Inc. | Apple-ID, E-Mail-Relay, Name | EU-U.S. DPF + SCC |
| Meta Platforms | Facebook-ID, E-Mail, Name | EU-U.S. DPF + SCC |
| Supabase, Inc. | Konto, Einstellungen, Stempel, Avatar | SCC + ergänzende Maßnahmen |
| Mapbox, Inc. | GPS-Koordinaten, IP | SCC + ergänzende Maßnahmen |
Kopie der Garantien auf Anfrage verfügbar unter info@rditaly.com.
9. Aufbewahrungsdauer
| Kategorie | Dauer |
|---|---|
| Kontodaten | Dauer der Registrierung (sofortige Löschung auf Anfrage) |
| Gamification | Bis zur Kontolöschung |
| Push-Token | Bis zur Deaktivierung oder Löschung |
| Technische Logs / Absturz | Max. 12 Monate |
| Pseudonymisierte Analytics | Max. 24 Monate |
| Support-Tickets | 24 Monate nach Schließung |
| Steuerdaten | 10 Jahre (Art. 2220 ital. Zivilgesetzbuch) |
| Rechtsverteidigung | Bis zum Abschluss + Verjährung |
10. Rechte der betroffenen Person
- Auskunft (Art. 15) — Bestätigung und Kopie der Daten
- Berichtigung (Art. 16) — Korrektur unrichtiger Daten
- Löschung (Art. 17) — Recht auf Vergessenwerden
- Einschränkung (Art. 18) — Einschränkung der Verarbeitung
- Datenübertragbarkeit (Art. 20) — Daten im JSON-Format
- Widerspruch (Art. 21) — gegen berechtigtes Interesse
- Automatisierte Entscheidungen (Art. 22) — der Verantwortliche trifft keine solchen
- Widerruf der Einwilligung (Art. 7 Abs. 3) — jederzeit
- Beschwerde (Art. 77) — bei der italienischen Datenschutzbehörde
11. Ausübung der Rechte
- In der App: Konto → Einstellungen (sofortige Löschung)
- E-Mail: info@rditaly.com
- Post: RDITALY S.r.l., Via Lavoratori Vittime del Col du Mont, 21 e 24 — 11100 Aosta (AO), Italien
Antwort innerhalb von 30 Tagen (verlängerbar um 2 Monate). Die Ausübung ist kostenlos.
11.1 Kontolöschung
In der App (Konto → Konto löschen): sofortige Entfernung von Profil, Favoriten, Stempeln, Wallet, Besuchen, Benachrichtigungen, Token, Avatar und lokalen Daten. Restdaten: Backups (max. 30 Tage), pseudonymisierte Analytics (nicht verknüpfbar), gesetzlich vorgeschriebene Daten.
12. Cookies und Tracking-Technologien
Die App verwendet keine Cookies. Sie generiert eine zufällige lokale UUID für aggregierte Analytics, nicht mit dem Konto oder der Hardware verknüpft. Aufbewahrt max. 24 Monate. Re-Identifizierungsrisiko in der DSFA bewertet.
13. Personalisierung, automatisierte Verarbeitung und Marketing
| Verarbeitung | Daten | Rechtsgrundlage | Profil? |
|---|---|---|---|
| Startseite nach Nähe | Aktuelles GPS | Einwilligung | Nein |
| Hörmodus nach Alter | Geburtsdatum | Vertrag | Nein |
| Sortierung nach Stadt | Gewählte Stadt | Vertrag | Nein |
| Digitale Stempel | Besuchte POIs | Vertrag | Nein |
| Analytics | Bildschirme, Ereignisse | Berechtigtes Interesse | Nein |
Kein Profiling, keine Segmentierung, keine personalisierten Vorschläge. Kein Werbe-SDK integriert.
14. Datenbereitstellung
Pflichtdaten sind für das Konto erforderlich. Optionale Daten (Geburt, Geschlecht, Avatar, GPS, Benachrichtigungen): freiwillig, die Verweigerung beschränkt nur die betreffenden Funktionen.
15. Änderungen dieser Erklärung
Nicht wesentlich: direkt veröffentlicht. Wesentlich: 30 Tage Vorankündigung + neue Einwilligung falls erforderlich. Die fortgesetzte Nutzung gilt nicht als stillschweigende Einwilligung.
16. Zuständiges Gericht und anwendbares Recht
Italienisches Recht und DSGVO. Gericht am Wohnsitz des Verbrauchers oder Gericht Aosta.
