Datenschutzerklärung

1. Umfang, Zweck und Rechtsgrundlage der Datenverarbeitung (Art. 13 Abs. 1 lit. c) und d) DSGVO)

Nachfolgend informieren wir Sie über Art, Umfang und Zweck der Erhebung und Verarbeitung personenbezogener Daten bei der Nutzung von slotfree. Personenbezogene Daten sind alle Daten, mit denen Sie persönlich identifiziert werden können.

1a) Protokollierung von Zugriffen (Server-Log-Dateien)

Bei jedem Zugriff auf unser Angebot werden automatisch Informationen in sogenannten Server-Log-Dateien gespeichert, die Ihr Browser automatisch an uns übermittelt. Dies sind:

• IP-Adresse des zugreifenden Rechners
• Browsertyp und Browserversion
• Verwendetes Betriebssystem
• Referrer URL (zuvor besuchte Seite)
• Hostname des zugreifenden Rechners
• Uhrzeit der Serveranfrage

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Sicherstellung eines störungsfreien Betriebs sowie der Erkennung und Abwehr von Angriffen).

Speicherdauer: Die Server-Log-Dateien werden nach 90 Tagen automatisch gelöscht.

Eine Zusammenführung dieser Daten mit anderen Datenquellen wird nicht vorgenommen. Es werden keine Nutzerprofile erstellt.

1b) Cookies

Unsere Internetseiten verwenden sogenannte Cookies. Cookies sind kleine Datenpakete und richten auf Ihrem Endgerät keinen Schaden an. Sie werden entweder vorübergehend für die Dauer einer Sitzung (Session-Cookies) oder dauerhaft (permanente Cookies) auf Ihrem Endgerät gespeichert.

Die Marketing-Website unter slotfree.de verwendet keine Cookies. Die slotfree-Anwendung unter app.slotfree.de verwendet ausschließlich technisch notwendige Cookies für die Authentifizierung und die Sitzungsverwaltung. Diese Cookies sind für den Betrieb der Anwendung zwingend erforderlich.

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der technischen Bereitstellung des Dienstes). Da ausschließlich technisch notwendige Cookies eingesetzt werden, ist eine gesonderte Einwilligung (Consent-Banner) nicht erforderlich.

Es werden keine Tracking-Cookies, Analyse-Cookies oder Cookies von Drittanbietern eingesetzt.

1c) Registrierung und Authentifizierung

Für die Registrierung und Anmeldung verwenden wir einen externen Authentifizierungsdienst (Keycloak via OpenID Connect). Die Authentifizierungs-Infrastruktur wird von uns selbst auf eigener Infrastruktur innerhalb der Europäischen Union betrieben. Dabei werden folgende Daten verarbeitet:

• Vorname und Nachname
• E-Mail-Adresse
• Benutzer-ID (eindeutige Kennung)
• Authentifizierungs-Token

Optional kann die Registrierung über Social Login (derzeit Google) erfolgen. In diesem Fall erhalten wir von Google Ihren Namen, Ihre E-Mail-Adresse und ggf. Ihr Profilbild. Es werden keine weiteren Daten von Google übernommen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung eines Vertrags bzw. Durchführung vorvertraglicher Maßnahmen).

Speicherdauer: Die Daten werden gespeichert, solange Ihr Benutzerkonto besteht. Bei Löschung des Kontos werden die Daten entsprechend Abschnitt 3 gelöscht.

Die gesamte Kommunikation zwischen Ihrem Browser, dem Authentifizierungsdienst und unseren Servern erfolgt TLS-verschlüsselt.

1d) Kontaktformular

Wenn Sie uns über das Kontaktformular auf der Website Anfragen zukommen lassen, werden Ihre Angaben aus dem Formular (Name, E-Mail-Adresse, Nachricht) zum Zwecke der Bearbeitung der Anfrage und für den Fall von Anschlussfragen bei uns gespeichert.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Durchführung vorvertraglicher Maßnahmen).

1e) Buchungsdaten

Bei der Nutzung der Buchungsfunktion werden folgende personenbezogene Daten verarbeitet:

• Gebuchte Ressource und Zeitraum
• Zugehörige Gruppe/Team (Party)
• Ersteller der Buchung
• Buchungsnotiz (sofern angegeben)
• Buchungsstatus (angefragt, bestätigt, abgelehnt, storniert)

Bei externen Buchungen (Buchungen durch nicht-registrierte oder organisationsfremde Nutzer) werden zusätzlich verarbeitet:

• Name des Buchers
• E-Mail-Adresse des Buchers
• Organisationsname und Teamname des Buchers

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

Speicherdauer: Buchungsdaten werden 2 Jahre nach dem Buchungsdatum aufbewahrt. Danach werden die personenbezogenen Daten anonymisiert (Zuordnung zum Ersteller wird entfernt), sodass die Buchung nur noch als anonymisierter Datensatz für statistische Zwecke erhalten bleibt.

1f) Organisationsdaten

Im Rahmen der Nutzung von slotfree werden folgende organisationsbezogene Daten verarbeitet:

• Organisationszugehörigkeit (Verein, Kommune)
• Zugewiesene Rolle innerhalb der Organisation
• Berechtigungen (Buchen, Genehmigen, Verwalten)
• Einladungen und deren Status

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

Speicherdauer: Die Daten werden gespeichert, solange Ihre Mitgliedschaft in der jeweiligen Organisation besteht. Bei Beendigung der Mitgliedschaft werden die Zuordnungsdaten gelöscht.

1g) Benachrichtigungen (Web Push)

slotfree bietet die Möglichkeit, Benachrichtigungen über Web Push zu erhalten. Dabei werden folgende Daten verarbeitet:

• Push-Subscription-Endpunkt (technische Gerätekennung)
• Verschlüsselungsschlüssel für die Push-Nachricht

Rechtsgrundlage: Art. 6 Abs. 1 lit. a) DSGVO (Einwilligung). Die Einwilligung wird über die Browser-Berechtigungsabfrage erteilt.

Widerruf: Sie können die Einwilligung jederzeit widerrufen, indem Sie die Push-Benachrichtigungen in Ihren Browser-Einstellungen deaktivieren oder die Benachrichtigungen in den App-Einstellungen abschalten.

Speicherdauer: Die Push-Subscription wird bis zum Widerruf gespeichert, maximal jedoch 90 Tage bei Inaktivität. Inaktive Abonnements werden danach automatisch gelöscht.

slotfree versendet keine E-Mail-Benachrichtigungen. Web Push ist der einzige Benachrichtigungskanal.

1h) Aktivitätsprotokoll

Zur Nachvollziehbarkeit und Sicherheit werden bestimmte Ereignisse in einem Aktivitätsprotokoll festgehalten:

• Buchungs- und Sperrereignisse (Erstellen, Ändern, Löschen, Genehmigen, Ablehnen)
• Ersteller des Ereignisses
• Betroffener Nutzer (sofern abweichend)
• Zeitpunkt des Ereignisses
• Art des Ereignisses

Rechtsgrundlage: Art. 6 Abs. 1 lit. f) DSGVO (berechtigtes Interesse an der Nachvollziehbarkeit von Vorgängen und der Sicherheit des Systems).

Speicherdauer: Aktivitätsprotokolle werden nach 12 Monaten automatisch gelöscht.

1i) Einladungslinks

Organisationsadministratoren können Einladungslinks erstellen, um neue Mitglieder einzuladen. Dabei werden folgende Daten verarbeitet:

• Einladungs-Token (zufällig generiert)
• Ablaufdatum der Einladung
• Maximale Nutzungsanzahl
• Ersteller der Einladung
• Optional zugewiesene Rollen

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Vertragserfüllung).

Speicherdauer: Einladungslinks werden nach Erreichen ihres Ablaufdatums automatisch gelöscht.

1j) Zahlungsdaten

Für die Abwicklung von Abonnement-Zahlungen und Buchungszahlungen nutzen wir den Zahlungsdienstleister Stripe. Dabei werden folgende Daten verarbeitet:

• Zahlungsmethode (Kreditkarte, SEPA-Lastschrift oder andere von Stripe unterstützte Methoden)
• Transaktionsdaten (Betrag, Zeitpunkt, Status)
• Stripe Customer ID (technische Zuordnung)

Wichtig: Ihre Bankdaten (IBAN, Kreditkartennummer) werden nicht auf slotfree-Servern gespeichert. Diese werden ausschließlich von Stripe verarbeitet und gespeichert. slotfree speichert lediglich technische Referenz-IDs zur Zuordnung von Zahlungen.

Rechtsgrundlage: Art. 6 Abs. 1 lit. b) DSGVO (Erfüllung eines Vertrags). Die Zahlungsabwicklung ist zur Erbringung der kostenpflichtigen Dienste erforderlich.

Speicherdauer: Stripe speichert Zahlungsdaten gemäß der eigenen Datenschutzrichtlinie. slotfree speichert die Referenz-IDs bis zur Löschung des Benutzerkontos.

1k) KI-generierte Inhalte

Auf der Marketing-Website (slotfree.de) werden visuelle Inhalte (Bilder, Grafiken, Illustrationen) eingesetzt, die teilweise unter Einsatz von Systemen der Künstlichen Intelligenz (KI) erstellt wurden. Dabei werden keine personenbezogenen Daten verarbeitet. Diese Inhalte stellen keine Abbildung realer Personen oder Ereignisse dar.

Wir weisen gemäß den Transparenzpflichten der EU-KI-Verordnung darauf hin, dass KI-gestützte Werkzeuge ausschließlich für die Erstellung von Marketing-Materialien verwendet werden – nicht für die Verarbeitung von Nutzerdaten oder für automatisierte Entscheidungen.

2. Empfänger / Kategorien von Empfängern der personenbezogenen Daten (Art. 13 Abs. 1 lit. e) und f) DSGVO)

Empfänger Ihrer personenbezogenen Daten ist die indibit GmbH als Betreiberin von slotfree. Ihre Daten werden von uns vertraulich behandelt und grundsätzlich nicht an Dritte weitergegeben.

Ein Profiling (automatisierte Entscheidungsfindung gemäß Art. 22 DSGVO) findet nicht statt.

Eine Übermittlung personenbezogener Daten in Drittstaaten (außerhalb der EU/des EWR) erfolgt grundsätzlich nicht. Stripe verarbeitet Zahlungsdaten innerhalb der EU (Irland). In Einzelfällen kann Stripe Daten gemäß den EU-Standardvertragsklauseln (SCC) in die USA übermitteln – siehe Stripe Datenschutzrichtlinie.

Auftragsverarbeiter

Für den Betrieb der technischen Infrastruktur setzen wir folgende externe Dienstleister ein:

• Scaleway SAS, 8 rue de la Ville l'Êvêque, 75008 Paris, Frankreich – Hosting und Cloud-Infrastruktur. Scaleway betreibt seine Rechenzentren ausschließlich in der Europäischen Union (Frankreich, Niederlande, Polen). Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.
• Stripe Technology Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin 2, Irland – Zahlungsabwicklung (Abonnement-Zahlungen und Buchungszahlungen). Stripe verarbeitet Zahlungsdaten ausschließlich innerhalb der Europäischen Union. Es besteht ein Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO.

Übermittlung an Behörden

Eine Übermittlung personenbezogener Daten an Behörden erfolgt nur, soweit wir gesetzlich dazu verpflichtet sind (z. B. auf Anordnung eines Gerichts oder einer Strafverfolgungsbehörde).

3. Dauer der Speicherung und Löschung personenbezogener Daten (Art. 13 Abs. 2 lit. a) DSGVO)

Die folgende Tabelle gibt einen Überblick über die Aufbewahrungsdauer der verschiedenen Datenkategorien:

Grundsätzlich gilt: Ist der jeweilige Verarbeitungszweck nicht mehr gegeben und stehen keine gesetzlichen Aufbewahrungsfristen einer Löschung entgegen, werden die personenbezogenen Daten gelöscht (Art. 17 DSGVO).

Die Löschung personenbezogener Daten erfolgt insbesondere, wenn:

• die Daten für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig sind;
• die betroffene Person ihre Einwilligung, auf die sich die Verarbeitung stützte, widerruft und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt;
• die betroffene Person Widerspruch gegen die Verarbeitung einlegt und keine vorrangigen berechtigten Gründe für die Verarbeitung vorliegen;
• die personenbezogenen Daten unrechtmäßig verarbeitet wurden;
• die Löschung zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich ist.

Sofern eine Löschung aufgrund gesetzlicher Aufbewahrungspflichten nicht möglich ist, wird die Verarbeitung der betroffenen Daten eingeschränkt (Sperrung). Die Daten stehen dann für eine weitere Verwendung nicht mehr zur Verfügung.

4. Ihre Rechte als betroffene Person (Art. 13 Abs. 2 lit. b) und c) DSGVO)

Sie haben im Rahmen der geltenden gesetzlichen Bestimmungen jederzeit folgende Rechte:

Recht auf Auskunft (Art. 15 DSGVO)

Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob personenbezogene Daten, die Sie betreffen, verarbeitet werden. Ist dies der Fall, haben Sie das Recht auf unentgeltliche Auskunft über diese personenbezogenen Daten sowie auf weitere Informationen gemäß Art. 15 DSGVO.

Recht auf Berichtigung (Art. 16 DSGVO)

Sie haben das Recht, unverzüglich die Berichtigung Sie betreffender unrichtiger personenbezogener Daten zu verlangen. Unter Berücksichtigung der Zwecke der Verarbeitung haben Sie ferner das Recht, die Vervollständigung unvollständiger personenbezogener Daten zu verlangen.

Recht auf Löschung (Art. 17 DSGVO)

Sie haben das Recht, zu verlangen, dass Sie betreffende personenbezogene Daten unverzüglich gelöscht werden, sofern einer der in Art. 17 DSGVO genannten Gründe zutrifft und soweit die Verarbeitung nicht erforderlich ist.

Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO)

Sie haben das Recht, die Einschränkung der Verarbeitung zu verlangen, wenn eine der in Art. 18 DSGVO genannten Voraussetzungen gegeben ist, z. B. wenn Sie die Richtigkeit der Daten bestreiten, die Verarbeitung unrechtmäßig ist oder der Verantwortliche die Daten für die Zwecke der Verarbeitung nicht länger benötigt.

Recht auf Datenübertragbarkeit (Art. 20 DSGVO)

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Sie haben ferner das Recht, diese Daten einem anderen Verantwortlichen ohne Behinderung zu übermitteln. In slotfree können Sie Ihre Daten über die Einstellungen als JSON-Datei exportieren.

Recht auf Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3 DSGVO)

Sie haben das Recht, eine einmal erteilte Einwilligung in die Verarbeitung von Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

Recht auf Widerspruch (Art. 21 DSGVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Sie betreffender personenbezogener Daten, die aufgrund von Art. 6 Abs. 1 lit. e) oder f) DSGVO erfolgt, Widerspruch einzulegen.

Dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Der Verantwortliche verarbeitet die personenbezogenen Daten nicht mehr, es sei denn, er kann zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die die Interessen, Rechte und Freiheiten der betroffenen Person überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung Sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen. slotfree betreibt keine Direktwerbung.

Zur Ausübung Ihrer Rechte wenden Sie sich bitte an: kontakt@slotfree.de

5. Datenexport und Kontolöschung

Datenexport

Sie können Ihre personenbezogenen Daten jederzeit über die Einstellungen in slotfree als JSON-Datei exportieren (Art. 20 DSGVO). Der Export umfasst Ihre Kontodaten, Organisationszugehörigkeiten, Rollen und Buchungen.

Kontolöschung

Die Löschung Ihres Kontos kann über die Einstellungen in slotfree beantragt werden. Bei einer Kontolöschung werden folgende Schritte durchgeführt:

• Alle Mitgliedschaften in Organisationen werden entfernt.
• Rollenzuweisungen und Berechtigungen werden gelöscht.
• Buchungsdaten werden anonymisiert (Zuordnung zu Ihrem Konto wird entfernt).
• Push-Abonnements werden gelöscht.

Die Löschung wird innerhalb von 30 Tagen nach Eingang des Löschungsantrags bearbeitet.

6. Verantwortliche Stelle (Art. 13 Abs. 1 lit. a) DSGVO)

Verantwortlich für die Datenverarbeitung im Sinne der Datenschutz-Grundverordnung ist:

indibit GmbH
Wittelsbacherring 10
D-95444 Bayreuth

Telefon: +49 (0) 921 164 964 12
E-Mail: kontakt@slotfree.de

Vertretungsberechtigter Geschäftsführer: Dr. Michael Zeising

7. Externer Datenschutzbeauftragter (Art. 13 Abs. 1 lit. b) DSGVO)

Unser externer Datenschutzbeauftragter ist:

Martin Bastius
heyData GmbH
Schützenstr. 5
10117 Berlin

E-Mail: datenschutz@heydata.eu

Bei Fragen zu technischen und organisatorischen Maßnahmen zum Datenschutz können Sie sich auch direkt an uns wenden: datenschutz@slotfree.de

8. Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde (Art. 13 Abs. 2 lit. d), Art. 77 DSGVO)

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die Datenschutz-Grundverordnung verstößt, haben Sie nach Art. 77 DSGVO das Recht auf Beschwerde bei einer Aufsichtsbehörde. Sie können sich dabei an die Aufsichtsbehörde Ihres üblichen Aufenthaltsortes, Ihres Arbeitsplatzes oder unseres Unternehmenssitzes wenden.

Die für uns zuständige Aufsichtsbehörde ist:

Bayerisches Landesamt für Datenschutzaufsicht (BayLDA)
Promenade 18
91522 Ansbach

Eine Übersicht der Landesdatenschutzbeauftragten sowie deren Kontaktdaten finden Sie unter:
www.bfdi.bund.de – Anschriften und Links der Landesdatenschutzbeauftragten

9. Schlussbestimmung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z. B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.