Datenschutzinformationen für Nutzer der givve® Card App

Stand Oktober 2024

Gültigkeit ab Version 5.13.0

 

In dieser Datenschutzerklärung informieren wir Sie über die Verarbeitung personenbezogener Daten bei der Nutzung unserer givve® Card App (im Folgenden „App“). Personenbezogene Daten sind Informationen, die sich auf eine identifizierte oder identifizierbare Person beziehen. Hierunter fallen vor allem Angaben, die Rückschlüsse auf Ihre Identität ermöglichen, beispielsweise Ihr Name, Ihre Telefonnummer, Ihre Anschrift oder E-Mail-Adresse. Aber auch bestimmte Kennungen wie Ihre IP-Adresse oder die Geräte-ID Ihres genutzten Endgerätes gehören zu personenbezogenen Daten.

 

1. Verantwortlicher und Ansprechpartner
 

Ansprechpartner und sogenannter Verantwortlicher für die Verarbeitung Ihrer personenbezogenen Daten bei der Nutzung dieser App im Sinne der Datenschutz-Grundverordnung (DSGVO) ist die

PL Gutscheinsysteme GmbH
Ainmillerstraße 11
80801 München
Deutschland
E-Mail: datenschutz@givve.com 

Für alle Fragen zum Thema Datenschutz im Zusammenhang mit unseren Produkten und Dienstleistungen oder der Nutzung unserer App können Sie sich jederzeit auch an unseren Datenschutzbeauftragten wenden. Dieser ist unter obiger postalischer Adresse sowie unter der zuvor angegebenen E-Mail-Adresse (Stichwort: „z. Hd. Datenschutzbeauftragter“) erreichbar. Wir weisen ausdrücklich darauf hin, dass bei Nutzung dieser E-Mail-Adresse die Inhalte nicht ausschließlich von unserem Datenschutzbeauftragten zur Kenntnis genommen werden. Wenn Sie vertrauliche Informationen austauschen möchten, bitten Sie daher zunächst über diese E-Mail-Adresse um direkte Kontaktaufnahme.

 

2. Datenverarbeitung bei der Nutzung unserer App
 

2.1 Nutzungsbedingungen und Datenschutzinformationen für Nutzer der givve® Card
 

Die Nutzung Ihrer givve® Card unterliegt den givve® Card Nutzungsbedingungen für Kartenhalter, die zwischen Ihnen und dem Unternehmen gilt, das Ihnen die givve® Card zur Nutzung überlässt: https://storage.googleapis.com/legal_documents/card/NB_v4.0_20220517_63103b1b3cce26000162277f.pdf. Diese Nutzungsbedingungen sind die vertragliche Grundlage für die meisten Datenverarbeitungen im Rahmen der givve® Card App. Darüber hinaus verweisen wir auf die Datenschutzinformationen für Nutzer der givve® Card unter: https://storage.googleapis.com/legal_documents/card/Datenschutz_Hinweise_20220519_62874b29f45a100001637060.pdf. Nachfolgend wird die Verarbeitung Ihrer Daten in Hinblick auf die Nutzung der givve® Card App beschrieben:

 

2.2 Installation der App
 

Um unsere App aus einem App-Store herunterladen und installieren zu können, müssen Sie sich zunächst bei dem Anbieter des jeweiligen App-Stores (z. B. Apple App Store oder Google Play) mit einem Konto registrieren und einen entsprechenden Nutzungsvertrag abschließen. Hierauf haben wir keinen Einfluss, insbesondere sind wir nicht Partei eines solchen Nutzungsvertrags.

Beim Herunterladen und Installieren der App werden die dafür notwendigen Informationen an den jeweiligen App-Store übertragen, insbesondere Ihr Name, Ihre E-Mail-Adresse und die Nummer Ihres Kontos, der Zeitpunkt des Downloads, Zahlungsinformationen und die individuelle Gerätekennung.

Auf diese Datenerhebung haben wir keinen Einfluss und sind nicht dafür verantwortlich. Wir verarbeiten diese bereitgestellten Daten nur, soweit dies für das Herunterladen und die Installation der App auf Ihrem mobilen Endgerät (z. B. Smartphone, Tablet) notwendig ist. Darüber hinaus werden diese Daten nicht weiter gespeichert.

Rechtsgrundlage für die Datenverarbeitung in unserem Verantwortungsbereich ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, die Bereitstellung der App zu ermöglichen. Für die Datenverarbeitung, die in alleiniger Verantwortung durch den App-Store-Betreiber erfolgt, verweisen wir auf deren Datenschutzerklärungen:

 

2.3 Verifizierung der App


Damit Sie die App nutzen können, müssen Sie einmalig Ihre E-Mail-Adresse verifizieren. Für die Verifikation Ihrer E-Mail-Adresse verwenden wir das sogenannte Double Opt-In-Verfahren, d. h. Sie können die App erst dann nutzen, wenn Sie in unserer Benachrichtigungs-E-Mail durch das Anklicken eines Links bestätigen, dass Sie der Inhaber oder die Inhaberin der angegebenen E-Mail-Adresse sind.

 

2.4 Consent Management durch Usercentrics
 

Wir nutzen den Einwilligungsverwaltungsdienst Usercentrics der Usercentrics GmbH, Sendlinger Str. 7, 80331 München zum Zweck des Einwilligungsmanagements.

Im Rahmen der Nutzung von Usercentrics werden folgende Daten verarbeitet:

  • Opt-in und Opt-out-Daten
  • Referrer URL
  • User Agent
  • Benutzereinstellungen
  • Consent ID
  • Zeitpunkt der Einwilligung
  • Einwilligungstyp
  • Template-Version
  • Banner-Sprache
  • IP-Adresse
  • Geografischer Standort

Rechtsgrundlage für die Datenverarbeitung ist die Erfüllung unserer rechtlichen Verpflichtung gemäß Art. 6 Abs. 1 lit. c DSGVO, die sich aus Art. 7 DSGVO und § 25 TDDDG ergibt.

Die Einwilligungsdaten werden ein Jahr gespeichert und dann unverzüglich gelöscht.

Wir haben mit Usercentrics einen Auftragsverarbeitungsvertrag geschlossen. Weitere Informationen zur Datenverarbeitung bei Usercentrics finden Sie unter: https://usercentrics.com/privacy-policy/.

 

2.5 Verbindungsdaten und Protokollierung (Logging)
 

Bei jeder Nutzung unserer App verarbeiten wir Verbindungsdaten, die Ihr Gerät automatisch übermittelt. Diese Verbindungsdaten umfassen die sog. HTTP-Header-Informationen, einschließlich des User-Agents, und beinhalten insbesondere:

  • IP-Adresse des anfragenden Geräts; 
  • Methode (z.B. GET, POST) und Datum und Uhrzeit der Anfrage; 
  • Adresse und Pfad der angefragten Dateien;
  • ggf. zuvor aufgerufene Adressen (HTTP-Referer);
  • Angaben über das verwendete Endgerät (Bezeichnung, Build-Nummer, Modell) und das Betriebssystem (Bezeichnung und Version);
  • Angaben zur App (Bezeichnung, Version, App-ID);
  • Version des HTTP-Protokolls, HTTP-Statuscode, Größe der ausgelieferten Datei;
  • Anfrageinformationen wie Sprache, Art des Inhalts, Kodierung des Inhalts, Zeichensätze.

Die Datenverarbeitung dieser Verbindungsdaten ist unbedingt erforderlich, um die Nutzung der App zu ermöglichen, die dauerhafte Funktionsfähigkeit und Sicherheit unserer Systeme zu gewährleisten sowie um unsere App allgemein administrativ zu pflegen.

Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1), und im Übrigen Art.  6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses an der Ermöglichung des Aufrufes der Inhalte sowie dauerhaften Funktionsfähigkeit und Sicherheit unserer Systeme. 

Um die Stabilität unserer App zu verbessern und um Codefehler zu ermitteln, nutzen wir den Dienst Sentry des Dienstleisters Functional Software, Inc. d/b/a Sentry, 45 Fremont Street, 8th Floor, San Francisco, CA 94105, USA („Sentry“). Sentry erhebt, insbesondere im Rahmen der Analyse von technischen Incidents, folgende Daten:

  • Nutzungsdaten
  • Geräteinformationen
  • Fehlerdaten

Diese Daten werden ausschließlich für die technische Analyse im Rahmen der Verbesserung der Stabilität der App und zur Ermittlung von Codefehlern genutzt. Rechtsgrundlage ist unser berechtigtes Interesse nach Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse liegt in der Ermöglichung des Aufrufes der Inhalte sowie der dauerhaften Funktionsfähigkeit und Sicherheit unserer Systeme. Sie können der Verarbeitung jederzeit in den Datenschutzeinstellungen widersprechen.

Sofern Sie einwilligen, erheben wir zusätzlich zu den oben genannten Daten Ihre User ID, mit der wir Fehler leichter reproduzieren können. Rechtsgrundlage für diese Datenverarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO.

Diese Daten werden nach Abschluss der Analyse gelöscht. Wir haben mit Sentry einen Auftragsverarbeitungsvertrag geschlossen. Sentry ist dem EU-U.S. Data Privacy Framework beigetreten, weshalb die Übermittlung von Daten an die USA in diesem Fall auf Basis des Angemessenheitsbeschlusses für die USA gemäß Art. 45 DSGVO erfolgt. Mehr zur Datenverarbeitung bei Sentry erfahren Sie unter: https://sentry.io/privacy/. Gehostet wird unsere App von Amazon Europe Core S.à r.l., 38 avenue John F. Kennedy, L-1855 Luxemburg.

 

2.6 App-Berechtigungen
 

Bei der Installation oder Nutzung unserer App werden möglicherweise Berechtigungen des Endgeräts auf technischer Ebene abgefragt, etwa für die Versendung von Push-Benachrichtigungen.

Grundsätzlich sind diese App-Berechtigungen notwendig, um unsere App bereitzustellen. Der Zugriff auf und die Speicherung von Informationen im Endgerät ist in diesen Fällen unbedingt erforderlich und erfolgt auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer, in Deutschland nach § 25 Abs. 2 TDDDG. Rechtsgrundlage für die Verarbeitung personenbezogener Daten ist dann Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Abschnitt 2.1), oder Art. 6 Abs. 1 lit. f DSGVO, unsere berechtigten Interessen zur Ermöglichung der Bereitstellung und der grundlegenden Funktionen der App.

Diese Berechtigungen sind keine Einwilligung im datenschutzrechtlichen Sinne. Soweit aufgrund der erteilten Berechtigungen Informationen im Endgerät gespeichert oder ausgelesen werden, die für die Bereitstellung der App nicht unbedingt erforderlich sind, oder personenbezogene Daten verarbeitet werden, die nicht auf die Vertragsgrundlage oder unsere berechtigten Interessen gestützt werden können, holen wir Ihre Einwilligung separat ein. Dies erfolgt dann auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer in Deutschland nach § 25 Abs. 1 TDDDG, bzw. für die Verarbeitung personenbezogener Daten gemäß Art. 6 Abs. 1 lit. a DSGVO.

 

2.7 Funktionen der App
 

2.7.1 Freischaltung des Zugangs zur App und Anmeldung
 

Sie haben die Möglichkeit, mit Ihrer vorhandenen givve® Card einen Zugang für die App einzurichten und diesen freizuschalten. Hierfür werden folgende Daten verarbeitet:

  • Anrede;
  • Vorname, Nachname;
  • E-Mail-Adresse;
  • Passwort;
  • Persönlicher 9-stelliger Token Ihrer givve® Card.

Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1).

 

2.7.2 Kontaktaufnahme
 

Sie haben die Möglichkeit, mit uns in Kontakt zu treten, beispielsweise über den Bereich „Support und Hilfe“ in den Einstellungen der App und dort „Support kontaktieren“. In diesem Zusammenhang verarbeiten wir Ihre Daten ausschließlich zum Zwecke der Kommunikation mit Ihnen.

Die Rechtsgrundlage für diese Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1), und im Übrigen Art. 6 Abs. 1 lit. f DSGVO aufgrund unseres berechtigten Interesses, dass Sie mit uns Kontakt aufnehmen und wir Ihre Anfrage beantworten können.

Die bei der Kontaktaufnahme von uns erhobenen Daten werden nach vollständiger Bearbeitung Ihrer Anfrage automatisch gelöscht, es sei denn, wir benötigen Ihre Anfrage noch zur Erfüllung vertraglicher oder gesetzlicher Pflichten (vgl. Ziffer 5 „Speicherdauer“).

 

2.7.3 Verwaltung der persönlichen Daten
 

Folgende Daten werden im Rahmen der Verwaltung der App verarbeitet und können von Ihnen jederzeit im Bereich „Meine Daten verwalten“ in den Einstellungen der App geändert werden:

  • Vor- und Nachname;
  • Anschrift (optional);
  • E-Mail-Adresse (geschäftlich oder privat);
  • Passwort;
  • mit der Karte verbundene Geräte.

Rechtsgrundlage für die Verarbeitung dieser Daten ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1).

 

2.7.4 Verwaltung der givve® Card
 

In der App können Sie zudem Ihre givve® Card verwalten. Hier können Sie vor allem Online-Zahlungen und Ihren PIN einsehen sowie Ihre Karte und Ihren PIN sperren. Folgende Daten werden im Rahmen dieser Funktion verarbeitet:

  • Karten-PIN;
  • Kartenguthaben;
  • Setup der Karte;
  • Gültigkeit der Karte;
  • Aktivierungszustand der Karte.

Die hierfür einschlägige Rechtsgrundlage für die Verarbeitung der Daten im Rahmen der Kartenverwaltung ist Art 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1).

 

2.7.5 Übersicht der Transaktionen
 

In der App haben Sie die Möglichkeit, die Historie Ihrer Transaktionen einzusehen. Im Rahmen dieser Funktionen werden folgende Daten verarbeitet:

  • Zahlungsinformationen (z.B. Status der Transaktion, Datum und Uhrzeit der Buchung, Betrag, Kategorie, Referenznummer, Link-ID, Txn-ID, ARN);
  • Händlerinformationen (z.B. Merchant-ID, Name, Postleitzahl, Stadt, Land, MCC).

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1).

 

2.7.6 Akzeptanzstellen (Deine Region)
 

In der App haben Sie die Möglichkeit, in dem Bereich „Deine Region“ die PLZ-Bezirke anhand der ersten zwei Ziffern der jeweiligen PLZ oder als farbliche Hervorhebung im Rahmen einer Kartenansicht einzusehen, in denen bei allen Mastercard-Akzeptanzstellen bezahlt werden kann. Im Rahmen dieser Funktionen wird die Postleitzahl Ihrer Adresse verarbeitet.

Rechtsgrundlage für die Anzeige der ersten zwei Ziffern der jeweiligen PLZ ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1).

Zur Darstellung der Karte mit den farblichen Hervorhebungen der Postleitzahlen mit den Akzeptanzstellen nutzen wir nach Klick auf „Zur Kartenansicht“ Google Maps (Maps SDK for Android, Maps DSK for iOS) der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“).

Damit das von uns benutzte Google-Kartenmaterial eingebunden und in unserer App angezeigt werden kann, muss Ihre App beim Aufruf des entsprechenden Bereiches mit der eingebundenen Karte eine Verbindung zu einem Server von Google, der sich auch in den USA befinden kann, aufnehmen. Google erhält durch die Einbindung des Kartenmaterials die Information, dass innerhalb der App das Kartenmaterial aufgerufen wurde. Dabei werden Datum und Uhrzeit des Besuchs, Standort-Informationen, IP-Adresse, URL, Nutzungsdaten, Suchbegriffe sowie geografischer Standort verarbeitet.

Google verwendet die erhobenen Informationen gegebenenfalls, um seine Produkte und Services zu verbessern. Für die Weiterverarbeitung der in unserer App erhobenen Daten ist Google allein verantwortlich. Mehr zur Datenverarbeitung bei Google erfahren Sie unter: https://policies.google.com/privacy.

Rechtsgrundlage für die Darstellung der PLZ-Bezirke mit Google Maps ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Der Zugriff auf und die Speicherung von Informationen im Endgerät erfolgt in diesem Fall gemäß § 25 Abs. 1 TDDDG. Die in diesem Zusammenhang anfallenden Daten können von Google Ireland Limited an Google LLC in den USA übermittelt werden. Google LLC ist dem EU-U.S. Data Privacy Framework beigetreten, weshalb die Übermittlung in diesem Fall auf Basis des Angemessenheitsbeschlusses für die USA gemäß Art. 45 DSGVO erfolgt. Darüber hinaus haben Google Ireland Limited und Google LLC Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

 

2.7.7 Push-Benachrichtigung
 

Sofern Sie uns Ihre Einwilligung erteilt haben, erhalten Sie Marketing-Mitteilungen per Push-Benachrichtigungen und E-Mail von uns. Bei Marketing-Mitteilungen kann es sich um folgende Benachrichtigungen handeln:

  • Werbliche Informationen rund um givve®️ Produkte;
  • Werbliche Informationen zu Akzeptanzstellen;
  • Angebote & Rabatte von Akzeptanzstellen und Partnern

Sie können die Push-Benachrichtigungen jederzeit über die Einstellung Ihres mobilen Endgeräts deaktivieren. Eine Anleitung hierzu finden Sie beispielsweise unter folgenden Adressen:

Rechtsgrundlage ist Ihre Einwilligung nach Art. 6 Abs. 1 lit. a DSGVO. Der Zugriff auf und die Speicherung von Informationen im Endgerät erfolgt dann auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer, in Deutschland nach § 25 Abs. 1 TDDDG.

Wir nutzen zur Versendung der Push-Benachrichtigungen den Dienst CleverPush der CleverPush GmbH, Brauhausstraße 15A, 22041 Hamburg, Deutschland. Folgende Daten werden von CleverPush verarbeitet:

  • Anmeldezeitpunkt;
  • Push-Token bzw. Geräte-ID.

Der Push-Token bzw. Ihre Geräte-ID dienen dazu, die Push-Benachrichtigung genau für Ihr mobiles Endgerät auszuspielen. Dabei dient der Push-Token dazu, das sichere Senden und Empfangen der Push-Benachrichtigung genau für Ihr Endgerät zu gewährleisten. Darüber hinaus erfolgt eine aggregierte statistische Auswertung der Nutzung unserer Push-Benachrichtigungen.

Ihre Daten werden innerhalb von Deutschland gespeichert und verschlüsselt übertragen. Sie werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind, also regelmäßig bei Beendigung des Abonnements.

Mit CleverPush haben wir einen Auftragsverarbeitungsvertrag geschlossen. Soweit CleverPush Unterauftragsverarbeiter einsetzt, die personenbezogene Daten in Drittländer übermitteln, stellt CleverPush sicher, dass diese Datenübermittlungen im Einklang mit den Anforderungen der DSGVO für Drittlandübermittlungen (Art. 44 ff. DSGVO) erfolgen. Weitere Informationen zur Drittlandübermittlung erhalten Sie unter Ziffer 4.

 

2.7.8 E-Mail-Benachrichtigung und Newsletter
 

Im Rahmen der Nutzung unserer App erhalten Sie möglicherweise E-Mail-Benachrichtigungen von uns, wenn Sie diese in der App aktiviert haben. Hierfür verarbeiten wir Ihre E-Mail-Adresse. Dabei kann es sich um folgende Benachrichtigungen handeln:

  • Ladebenachrichtigung givve® Card;
  • Newsletter abonnieren.

Bei den Ladebenachrichtigungen handelt es sich ausschließlich um Benachrichtigungen, welche sich unmittelbar auf Ihre Nutzung der givve® Card beziehen. Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1).

Mit einem Newsletter informieren wir Sie ggf. über Neuigkeiten und Funktionen zu Ihrer givve® Card, soweit Sie den Newsletter aktiviert haben. Rechtsgrundlage der Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Diese können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie den Newsletter wieder abbestellen. Hierfür können Sie beispielsweise den Bereich „App verwalten“ in den Einstellungen Ihrer App aufrufen und den Newsletter deaktivieren. Zudem befindet sich ein entsprechender Abmelde-Link in jedem Newsletter. Eine Mitteilung an die oben oder im Newsletter angegebenen Kontaktdaten (z. B. per E-Mail oder Brief) ist dafür selbstverständlich ebenfalls ausreichend.

Folgende Daten werden im Rahmen des Abonnements verarbeitet:

  • E-Mail-Adresse;
  • Zeitpunkt der Anmeldung;
  • zur Anmeldung eingesetzte IP-Adresse;
  • abonnierte Themen.

Wir verarbeiten diese Daten so lange, bis Sie die Newsletter abbestellen. Die Speicherung dient allein dem Zweck, Ihnen die Newsletter senden und Ihre Anmeldung nachweisen zu können. Darüber hinaus messen wir, ob unser Newsletter überhaupt zugestellt werden kann.

Wir nutzen zur Versendung der E-Mail-Benachrichtigungen und des Newsletters den Dienst Mailchimp der The Rocket Science Group LLC, ein Unternehmen der Intuit Inc., 2700 Coast Avenue, Mountain View, CA 94043, USA („Mailchimp“). Mit Mailchimp haben wir einen Auftragsverarbeitungsvertrag vereinbart. Mailchimp ist dem EU-U.S. Data Privacy Framework beigetreten, weshalb die Übermittlung von Daten an die USA in diesem Fall auf Basis des Angemessenheitsbeschlusses für die USA gemäß Art. 45 DSGVO erfolgt. Mehr zur Datenverarbeitung bei Mailchimp erfahren Sie unter: https://www.intuit.com/privacy/statement/.

 

2.8 Nutzerstatistiken (Google Analytics for Firebase)
 

2.8.1 Nutzung von Firebase Tools von Google
 

Wir nutzen verschiedene Cloud-Dienste von Google Firebase. Google Firebase wird für Nutzer aus dem Europäischen Wirtschaftsraum und der Schweiz von der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland und für alle übrigen Nutzer von Google LLC 1600 Amphitheatre Parkway Mountain View, CA 94043, USA (zusammen „Google“) angeboten.

Wir haben mit Google einen Auftragsverarbeitungsvertrag abgeschlossen. Ihre personenbezogenen Daten können von Google Ireland Limited auch an Google LLC in den USA übertragen werden. Google LLC ist dem EU-U.S. Data Privacy Framework beigetreten, weshalb die Übermittlung in diesem Fall auf Basis des Angemessenheitsbeschlusses für die USA gemäß Art. 45 DSGVO erfolgt. Darüber hinaus haben Google Ireland Limited und Google LLC Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

 

2.8.2 Push-Benachrichtigung mit Firebase Cloud-Messaging

Im Rahmen der Nutzung unserer App erhalten Sie möglicherweise Push-Benachrichtigungen von uns, wenn Sie diese unter „App verwalten“ in den Einstellungen der App aktiviert haben und Sie hierfür Ihre App-Berechtigung erteilt haben. Dabei kann es sich um folgende Benachrichtigungen handeln:

  • wichtige Infos zu Ihrer givve® Card;
  • Aktivitäten givve® Card (z.B. Ladungen und Abbuchungen).

Diese werden von uns auch ausgespielt, wenn Sie die App gerade nicht nutzen. Dabei handelt es sich ausschließlich um Benachrichtigungen, welche sich unmittelbar auf Ihre Nutzung der givve® Card beziehen.

Sie können die Push-Benachrichtigungen jederzeit über die Einstellung Ihres mobilen Endgeräts deaktivieren. Eine Anleitung hierzu finden Sie beispielsweise unter folgenden Adressen:

Rechtsgrundlage ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1). Der Zugriff auf und die Speicherung von Informationen im Endgerät ist in diesen Fällen unbedingt erforderlich und erfolgt auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer in Deutschland nach § 25 Abs. 2 TDDDG.

Wir nutzen zur Versendung der Push-Benachrichtigungen den Dienst Firebase Cloud-Messaging. Folgende Daten werden von Firebase Cloud-Messaging verarbeitet:

  • Nachrichtenaustausch
  • Nachrichtentext
  • Anmeldezeitpunkt;
  • Firebase-Installations-ID;
  • Authentifizierungs-Token.

Firebase Cloud Messaging ermöglicht unter Verwendung der Firebase-Installations-ID und eines Authentifizierungs-Tokens die Push-Benachrichtigungen für genau Ihr mobiles Endgerät auszuspielen. Die Firebase-Installations-ID wird als Kennung für die konkrete App-Installation auf Ihrem Endgerät vergeben. Sie unterscheidet sich von App zu App und lässt keinen direkten Rückschluss auf Ihre Person zu. Der Authentifizierungs-Token dient dazu, das sichere Senden und Empfangen der Benachrichtigung nur an das adressierte Endgerät zu gewährleisten. Er wird für jede Benachrichtigung neu vergeben. Darüber hinaus erfolgt eine aggregierte statistische Auswertung der Nutzung unserer Push-Benachrichtigungen.

Bei Firebase Cloud Messaging findet eine Verschlüsselung der ruhenden Daten sowie des Transports der Daten (bei Android: Punkt-zu-Punkt-Verschlüsselung) statt. Sie werden gelöscht, sobald sie für die Erreichung des Zwecks ihrer Erhebung nicht mehr erforderlich sind, also regelmäßig bei Beendigung des Abonnements.

 

2.8.3 Firebase Remote Config
 

Wir nutzen den Cloud-Dienst Firebase Remote Config, um das Verhalten und Erscheinungsbild unserer App ändern zu können, ohne dass Benutzer ein App-Update herunterladen müssen. Mit Remote Config können wir zudem bestimmten Nutzern neue Funktionen zugänglich machen. Hierzu fügen wir eine neue Bedingung hinzu und wählen aus unseren Nutzern einen zufälligen Prozentsatz aus. Weitere Informationen zu Firebase Remote Config finden Sie unter: https://firebase.google.com/docs/remote-config?hl=de.

Im Rahmen der Nutzung von Firebase Remote Config werden folgende Daten verarbeitet:

  • Anwendungsdaten
  • App-Aktualisierungen
  • Anwendungsprotokolle
  • Informationen zur mobilen Anwendung
  • Firebase-Installations-ID;

Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO. Unser berechtigtes Interesse besteht darin, neue Funktionen zu testen, um unsere App stetig weiterzuentwickeln und zu optimieren. Der Zugriff auf und die Speicherung von Informationen im Endgerät ist unbedingt erforderlich und erfolgt auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer in Deutschland nach § 25 Abs. 2 TDDDG.

 

2.9 Google Pay
 

Sie haben die Möglichkeit, Ihre Karte zu Google Pay hinzuzufügen und Google Pay für Ihre givve® Card zu nutzen. Google Payments wird für Nutzer aus dem Europäischen Wirtschaftsraum von der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“) angeboten.

Im Rahmen der Registrierung von Google Pay für Ihre givve® Card über die App wird Ihr Token verarbeitet. Anhand des Tokens wird geprüft, ob die Karte zu Google Pay hinzugefügt wurde. Für die Bereitstellung von Google Pay nutzen wir den Dienst von MeaWallet AS (​​Akersgata 41, N-0158 Oslo, Norwegen), ein integrierter Diensteanbieter der Thredd Group Limited (6th Floor Victoria House, Bloomsbury Square, London, WC1B 4DA).

Die Datenverarbeitung im Rahmen der Nutzung von Google Pay erfolgt gemäß den Nutzungsbedingungen und Hinweisen zur Datenverarbeitung von Google Pay. Diese finden Sie unter:

Google Pay-Nutzungsbedingungen: https://payments.google.com/payments/apis-secure/u/0/get_legal_document?ldo=0&ldt=googlepaytos&ldl=de 

Datenschutzhinweise für Google Payments: https://payments.google.com/payments/apis-secure/get_legal_document?ldo=0&ldt=privacynotice&ldl=de 

Rechtsgrundlage der Verarbeitung ist Art. 6 Abs. 1 lit. b DSGVO, die Erfüllung der mit Ihnen abgeschlossenen Nutzungsbedingungen (siehe Ziffer 2.1). Zweck der Verarbeitung ist die Ermöglichung der Nutzung von Google Pay zur Abwicklung von Zahlungen.

Ihre personenbezogenen Daten können von Google Ireland Limited auch an Google LLC in den USA übertragen werden. Google LLC ist dem EU-U.S. Data Privacy Framework beigetreten, weshalb die Übermittlung in diesem Fall auf Basis des Angemessenheitsbeschlusses für die USA gemäß Art. 45 DSGVO erfolgt. Darüber hinaus haben Google Ireland Limited und Google LLC Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen.

 

2.10 PostHog
 

Wir verwenden den Webanalysedienst PostHog des Anbieters PostHog Inc., 2261 Market St., #4008, San Francisco, CA 94114, USA („PostHog“) zur statistischen Erfassung und Analyse des allgemeinen Nutzungsverhaltens.

Im Rahmen der Nutzung von PostHog werden folgende Daten in aggregierter Form verarbeitet:

  • Verhaltensdaten (z.B. Öffnen der App, Ausführen der App im Hintergrund, Verlassen der App, Web-Vitaldaten, Benutzerinteraktionen, Installation der App, Laden eines Screens)
  • Analysedaten (z.B. Seitenaufrufe, Referring Domain, Wachstumsanalyse, Verweildauer der Nutzer, täglich und wöchentliche aktive Nutzer)
  • User IDs (z.B. Cookie ID)

Rechtsgrundlage der Verarbeitung ist Ihre Einwilligung gemäß Art. 6 Abs. 1 lit. a DSGVO. Der Zugriff auf und die Speicherung von Informationen im Endgerät erfolgt dann auf Grundlage der Umsetzungsgesetze der ePrivacy-Richtlinie der EU-Mitgliedsländer, in Deutschland nach § 25 Abs. 1 TDDDG. Zweck der Verarbeitung ist die statistische Erfassung und Analyse des allgemeinen Nutzerverhaltens zur Verbesserung unserer App.

Die Daten in der PostHog Cloud werden nach einem Monat automatisch gelöscht.

Wir haben mit PostHog einen Auftragsverarbeitungsvertrag geschlossen. Ihre Daten werden auf einem Server in der EU, Frankfurt, gespeichert (PostHog Cloud EU). Da der Anbieter seinen Sitz in den USA hat und für den Fall, dass personenbezogene Daten in die USA übertragen werden, haben wir mit PostHog Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO abgeschlossen. Daneben ist PostHog  dem EU-U.S. Data Privacy Framework beigetreten, weshalb die Übermittlung in diesem Fall auf Basis des Angemessenheitsbeschlusses für die USA gemäß Art. 45 DSGVO erfolgt. Mehr zur Datenverarbeitung bei PostHog erfahren Sie unter: https://posthog.com/privacy.

 

3. Weitergabe von Daten
 

Eine Weitergabe der von uns erhobenen Daten erfolgt grundsätzlich nur, wenn hierfür im konkreten Fall eine datenschutzrechtliche Rechtsgrundlage vorliegt, insbesondere wenn:

  • Sie nach Art. 6 Abs. 1 lit. a DSGVO Ihre ausdrückliche Einwilligung dazu erteilt haben,
  • die Weitergabe nach Art. 6 Abs. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse am Unterbleiben der Weitergabe Ihrer Daten haben,
  • wir nach Art. 6 Abs. 1 lit. c DSGVO zur Weitergabe gesetzlich verpflichtet sind, insbesondere wenn dies aufgrund von behördlichen Anfragen, Gerichtsbeschlüssen und Rechtsverfahren für die Rechtsverfolgung oder -durchsetzung erforderlich ist, oder
  • dies gesetzlich zulässig und nach Art. 6 Abs. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen oder für die Durchführung vorvertraglicher Maßnahmen erforderlich ist, die auf Ihre Anfrage hin erfolgen.

Ein Teil der Datenverarbeitung kann durch unsere Dienstleister erfolgen. Neben den in dieser Datenschutzerklärung erwähnten Dienstleistern können hierzu insbesondere IT-Dienstleister die unsere Systeme warten, Agenturen, Marktforschungsunternehmen, Konzernunternehmen sowie Beratungsunternehmen gehören. Sofern wir Daten an unsere Dienstleister weitergeben, dürfen diese die Daten ausschließlich zur Erfüllung ihrer Aufgaben verwenden. Die Dienstleister wurden von uns sorgfältig ausgewählt und beauftragt. Sie sind vertraglich an unsere Weisungen gebunden, verfügen über geeignete technische und organisatorische Maßnahmen zum Schutz der Rechte der betroffenen Personen und werden von uns regelmäßig kontrolliert. Für nähere Informationen zu den von uns eingesetzten Dienstleistern verweisen wir auf unsere Datenschutzinformationen für Nutzer der givve® Card (siehe Ziffer 2.1).

 

4. Datenübermittlung in Drittländer
 

Soweit Daten an sogenannte Drittländer (außerhalb der Europäischen Union bzw. des Europäischen Wirtschaftsraums) übermittelt werden, und die Europäische Kommission für diese Länder keinen Angemessenheitsbeschluss (Art. 45 DSGVO) erlassen hat, haben wir entsprechende Vorkehrungen getroffen, um ein angemessenes Datenschutzniveau für etwaige Datenübertragungen zu gewährleisten. Hierzu zählen u.a. die Standardvertragsklauseln der Europäischen Union oder verbindliche interne Datenschutzvorschriften.

 

5. Speicherdauer
 

Grundsätzlich speichern wir personenbezogene Daten nur so lange, wie zur Erfüllung der Zwecke erforderlich, zu denen wir die Daten erhoben haben. Danach löschen wir die Daten unverzüglich, es sei denn, wir benötigen die Daten noch bis zum Ablauf der gesetzlichen Verjährungsfrist zu Beweiszwecken für zivilrechtliche Ansprüche, wegen gesetzlicher Aufbewahrungspflichten oder es besteht im konkreten Einzelfall eine sonstige datenschutzrechtliche Rechtsgrundlage für die fortdauernde Verarbeitung Ihrer Daten. Für nähere Informationen zur Speicherdauer Ihrer Daten verweisen wir auf unsere Datenschutzinformationen für Nutzer der givve® Card (siehe Ziffer 2.1).

 

6. Ihre Rechte, insbesondere Widerruf und Widerspruch
 

Ihnen stehen jederzeit bei Vorliegen der jeweiligen gesetzlichen Voraussetzungen, die in Art. 7 Abs. 3, Art. 15 – 21, Art. 77 DSGVO formulierten Betroffenenrechte zu: 

  • Recht auf Widerruf Ihrer Einwilligung (Art. 7 Abs. 3 DSGVO);
  • Recht auf Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten (Art. 21 DSGVO);
  • Recht auf Auskunft über Ihre bei uns verarbeiteten personenbezogenen Daten (Art. 15 DSGVO);
  • Recht auf Berichtigung Ihrer bei uns unrichtig gespeicherten personenbezogenen Daten (Art. 16 DSGVO);
  • Recht auf Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO);
  • Recht auf Beschränkung der Verarbeitung Ihrer personenbezogenen Daten (Art. 18 DSGVO);
  • Recht auf Datenübertragbarkeit Ihrer personenbezogenen Daten (Art. 20 DSGVO);
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO).

Um Ihre hier beschriebenen Rechte geltend zu machen, können Sie sich jederzeit an die oben genannten Kontaktdaten wenden. Dies gilt auch, sofern Sie Kopien von Garantien zum Nachweis eines angemessenen Datenschutzniveaus erhalten möchten. Sofern die jeweiligen rechtlichen Voraussetzungen vorliegen, werden wir Ihrem Datenschutzbegehren entsprechen.

Ihre Anfragen zur Geltendmachung von Datenschutzrechten und unsere Antworten darauf werden zu Dokumentationszwecken aufbewahrt. Rechtsgrundlage ist Art. 6 Abs. 1 lit. f DSGVO, beruhend auf unserem Interesse an der Verteidigung gegen etwaige zivilrechtliche Ansprüche nach Art. 82 DSGVO, der Vermeidung von Bußgeldern nach Art. 83 DSGVO sowie der Erfüllung unserer Rechenschaftspflicht aus Art. 5 Abs. 2 DSGVO.

Sie haben das Recht, eine einmal erteilte Einwilligung jederzeit uns gegenüber zu widerrufen. Dies hat zur Folge, dass wir die Datenverarbeitung, die auf dieser Einwilligung beruhte, für die Zukunft nicht mehr fortführen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Soweit wir Ihre Daten auf Grundlage von berechtigten Interessen verarbeiten, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Ihrer Daten einzulegen aus Gründen, die sich aus Ihrer besonderen Situation ergeben. Geht es um einen Widerspruch gegen die Datenverarbeitung zu Zwecken der Direktwerbung, haben Sie ein generelles Widerspruchsrecht, das auch ohne die Angabe von Gründen von uns umgesetzt wird.

Möchten Sie von Ihrem Widerrufs- oder Widerspruchsrecht Gebrauch machen, genügt eine formlose Mitteilung an die oben genannten Kontaktdaten.

Sie haben schließlich das Recht, sich bei einer Datenschutzaufsichtsbehörde zu beschweren. Sie können dieses Recht beispielsweise bei einer Aufsichtsbehörde in dem Mitgliedstaat Ihres Aufenthaltsorts, Ihres Arbeitsplatzes oder des Orts des mutmaßlichen Verstoßes geltend machen. In München, unserem Sitz, ist die zuständige Aufsichtsbehörde: Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Postfach 1349, 91504 Ansbach, Deutschland (Postanschrift). E-Mail: poststelle@lda.bayern.de.

 

7. Änderungen der Datenschutzerklärung
 

Gelegentlich aktualisieren wir diese Datenschutzerklärung, beispielsweise wenn wir unsere App anpassen oder sich die gesetzlichen oder behördlichen Vorgaben ändern.

Hier finden Sie eine Übersicht über die wesentlichen Änderungen, die wir im Laufe der Zeit an der Datenschutzerklärung der App vorgenommen haben:

  • Aktualisierung vom 25.10.2024 (Gültigkeit ab Version 5.13.0)
    • Hinzufügung des Abschnittes 2.10 (PostHog)
  • Aktualisierung vom 02.10.2024 (Gültigkeit ab Version 5.12.0)
    • Anpassung der Daten und der Rechtsgrundlage betreffend Sentry in Abschnitt 2.5
  • Aktualisierung vom 27.09.2024 (Gültigkeit ab Version 5.11.0)
    • Hinzufügung des Abschnittes 2.9 (Google Pay)