Datenschutzerklärung
Diese Datenschutzerklärung gilt für die App Passdeck (iOS), die Website passdeck.app sowie den Web-Karten-Dienst unter passdeck.me. Passdeck ist ein Produkt von Altinum Technologies e.U. Es gelten die Datenschutz-Grundverordnung (DSGVO) und das österreichische Datenschutzgesetz (DSG).
1Verantwortlicher
Verantwortlich im Sinne der DSGVO ist:
Altinum Technologies® e.U.
Alexander Fuchs, MSc
Dorf 12a, 6352 Ellmau, Österreich
E-Mail: contact@altinum.tech
Telefon: +43 5358 43990
Firmenbuch: FN 370339 t, Landesgericht Innsbruck
UID: ATU65278512
2Unser Grundsatz
Passdeck ist privacy-first gebaut. Kein Konto, keine Registrierung, kein Tracking, keine Werbung. Deine erstellten Pässe liegen auf deinem Gerät und werden in deiner persönlichen iCloud gesichert, auf die wir keinen Zugriff haben. Auf unseren Servern speichern wir nur das, was du aktiv teilst (eine Web-Karte), und auch das nur zeitlich befristet und von dir jederzeit löschbar.
3Nutzung der App
Für die Nutzung der App ist keine Anmeldung nötig. Die Angaben, die du für deinen Pass eingibst (zum Beispiel Name, Titel, Firma und Kontaktdaten), bleiben auf deinem Gerät gespeichert.
Sicherung in deiner iCloud. Damit deine Karten den Verlust des Geräts oder ein versehentliches Löschen der App überstehen, sichert die App sie zusätzlich im Schlüssel-Wert-Speicher deiner persönlichen iCloud (Apple iCloud Key-Value-Storage). Diese Sicherung liegt ausschließlich in deinem Apple-Konto; weder wir noch Dritte haben Zugriff darauf. Verantwortlicher für die iCloud-Speicherung ist Apple als dein Vertragspartner (Apple-Medien- und iCloud-Nutzungsbedingungen). Nutzt du die Funktion „Alle meine Daten löschen", wird auch diese Sicherung entfernt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der Sicherungs- und Wiederherstellungsfunktion).
Pass-Erstellung (Signierung). Zum Erzeugen der signierten Wallet-Datei (.pkpass) werden die von dir eingegebenen Passdaten an unseren Signier-Dienst übertragen, dort zur Erstellung verarbeitet und anschließend nicht gespeichert. Der Dienst arbeitet zustandslos. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Bereitstellung der von dir angeforderten Funktion).
Missbrauchsschutz (Apple App Attest). Damit unser Signier-Dienst nur von der echten, unveränderten App genutzt wird, verwenden wir Apple App Attest. Dabei wird ein von Apple ausgestelltes, gerätegebundenes Attestierungs-Token geprüft. Es enthält keine für uns personenbeziehbaren Inhalte. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse am Schutz vor Missbrauch und an der Begrenzung der Anfragen).
Geräte-Identität (ownerKey). Für das Verwalten und Löschen geteilter Web-Karten ohne Konto erzeugt die App einen zufälligen Schlüssel, der lokal in der iCloud-Keychain deines Apple-Geräts abgelegt wird. Auf unseren Servern wird dauerhaft nur ein kryptografischer Hash dieses Schlüssels gespeichert, nicht der Schlüssel selbst und keine Angaben zu deiner Person. Beim Wiederherstellen oder Löschen deiner geteilten Karten weist die App den Besitz mit dem Schlüssel nach; die Übertragung erfolgt verschlüsselt.
4In-App-Kauf (Passdeck Premium)
Der einmalige Premium-Kauf wird über Apple (StoreKit / App Store) abgewickelt. Die Zahlung und deren Zahlungsdaten verarbeitet Apple, nicht wir. Wir erhalten von Apple lediglich einen kryptografisch signierten Kaufnachweis, um die Freischaltung zu bestätigen. Es werden keine Kreditkarten- oder Zahlungsdaten an uns übermittelt. Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung).
5Geteilte Web-Karten (passdeck.me)
Nur wenn du eine Karte aktiv als Web-Link teilst, werden deren Inhalte auf unserem Server gespeichert, damit die Empfänger sie unter passdeck.me/c/… öffnen können.
- Gespeicherte Daten: die Felder der Karte, also Name, Titel, Firma, Fokus, Links sowie, sofern du sie hinterlegst, E-Mail und Telefonnummer.
- Verschlüsselung: die Karteninhalte werden verschlüsselt gespeichert (Verschlüsselung ruhender Daten).
- Speicherdauer: automatische Löschung nach 180 Tagen. Du kannst eine geteilte Karte jederzeit früher entfernen, über „Alle meine Daten löschen“ in der App.
- Kein Tracking: die Aufrufe der Web-Karte werden nicht ausgewertet. Die Seite ist für Suchmaschinen gesperrt (noindex).
- Schutz der Kontaktdaten: das Anzeigen von E-Mail und Telefon sowie der Download der Kontaktkarte (vCard) sind durch einen rechenbasierten Nachweis (ALTCHA, von uns selbst betrieben, kein Drittanbieter) gegen massenhaftes Auslesen geschützt. Felder, die du auf „verborgen“ stellst, werden gar nicht ausgeliefert.
Rechtsgrundlage: Art. 6 Abs. 1 lit. a DSGVO (Einwilligung). Du bestätigst das Teilen vor dem ersten Upload aktiv und kannst es jederzeit durch Löschen widerrufen.
6Hosting und Server-Protokolle
Der Signier-Dienst, der Web-Karten-Dienst und die Website werden bei Host Europe GmbH, Hansestraße 111, 51149 Köln, Deutschland betrieben. Die Server stehen in der Europäischen Union. Mit dem Hoster besteht ein Auftragsverarbeitungsvertrag nach Art. 28 DSGVO.
Beim Zugriff auf unsere Server fallen technisch bedingt Server-Protokolle an (z. B. IP-Adresse, Zeitpunkt, angefragte Ressource), die der Sicherheit, der Missbrauchsabwehr und der Fehlerdiagnose dienen. Sie werden in der Regel nach spätestens 14 Tagen gelöscht, sofern nicht ein konkreter Sicherheitsvorfall eine längere Aufbewahrung erfordert. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
7Fehler-Monitoring
Zur Stabilität der Dienste erfassen wir technische Fehlermeldungen über eine von uns selbst betriebene Monitoring-Instanz (GlitchTip, kein Drittanbieter-Dienst). Auch die App übermittelt bei einem technischen Fehler einen Fehlerbericht (Fehlermeldung, Gerätemodell, iOS- und App-Version) an diese Instanz. Es werden dabei keine Inhalte deiner Pässe, keine Kontaktdaten und keine Nutzerkennungen übertragen. Fehlerberichte werden nach spätestens 90 Tagen automatisch gelöscht. Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
8Websites (passdeck.app und passdeck.me)
Beim Aufruf unserer Webseiten fallen die unter Punkt 6 genannten Server-Protokolle an. Wir setzen keine Cookies, keine Tracking- oder Analyse-Werkzeuge und keine Werbenetzwerke ein, auch nicht auf den geteilten Karten-Seiten. Schriftarten werden lokal ausgeliefert, es werden keine externen Font-Dienste eingebunden. Da keinerlei Cookies gesetzt werden, ist nach § 165 Abs. 3 TKG 2021 keine Cookie-Einwilligung erforderlich.
9Weitergabe an Dritte
Wir verkaufen keine Daten und geben sie nicht zu Werbezwecken weiter. Eine Übermittlung erfolgt nur an:
- Apple (Apple Inc. bzw. Apple Distribution International Ltd.): für App-Bereitstellung, App Attest und die Zahlungsabwicklung des In-App-Kaufs.
- den unter Punkt 6 genannten Hosting-Anbieter als Auftragsverarbeiter.
10Verarbeitung außerhalb der EU
Von uns aus findet keine Datenübermittlung in die USA oder andere Drittländer statt. Alle von uns betriebenen Dienste (Signierung, Web-Karten, Website) laufen bei unserem Hoster innerhalb der EU. Wir setzen keine US-Analyse-, Cloud- oder Werbedienste ein.
Der einzige Berührungspunkt mit einem US-Unternehmen ergibt sich aus der Nutzung des Apple-Ökosystems selbst, das jeder iPhone-App zugrunde liegt: App Store, In-App-Kauf, iCloud-Keychain und App Attest. Soweit Apple dabei personenbezogene Daten verarbeitet, insbesondere bei der Zahlungsabwicklung des In-App-Kaufs, kann dies auch in den USA erfolgen. Apple handelt dabei als eigenständig Verantwortlicher und stützt Übermittlungen in die USA auf seine Zertifizierung nach dem EU-US Data Privacy Framework sowie auf die EU-Standardvertragsklauseln. Der in der iCloud-Keychain gespeicherte Schlüssel ist zudem Ende-zu-Ende-verschlüsselt, Apple kann ihn nicht lesen. Wir selbst übermitteln Apple keine Zahlungs- oder Profildaten.
11Keine automatisierte Entscheidungsfindung
Eine automatisierte Entscheidungsfindung einschließlich Profiling im Sinne des Art. 22 DSGVO findet nicht statt.
12Deine Rechte
Dir stehen nach der DSGVO die Rechte auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung der Verarbeitung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21) zu. Eine erteilte Einwilligung kannst du jederzeit mit Wirkung für die Zukunft widerrufen.
Die Bereitstellung deiner Daten ist weder gesetzlich noch vertraglich vorgeschrieben. Ohne die Pass-Angaben (mindestens den Namen) kann allerdings kein Pass erstellt und ohne das aktive Teilen keine Web-Karte bereitgestellt werden.
Da wir keine Konten führen und dich nicht als Person kennen, kannst du deine geteilten Web-Karten direkt in der App über „Alle meine Daten löschen“ entfernen. Für weitere Anliegen erreichst du uns unter contact@altinum.tech.
Du hast außerdem das Recht auf Beschwerde bei einer Aufsichtsbehörde, in Österreich bei der Datenschutzbehörde (dsb.gv.at).
13Externe Ziele deines QR-Codes
Wenn du deinen QR-Code auf ein externes Ziel richtest (zum Beispiel dein LinkedIn-Profil oder eine eigene URL), gelten für dieses Ziel dessen eigene Datenschutzbestimmungen. Das Ziel kann Aufrufe eigenständig auswerten. Darauf haben wir keinen Einfluss.
14Kontakt
Bei Fragen zum Datenschutz erreichst du uns unter:
Altinum Technologies e.U.
contact@altinum.tech · +43 5358 43990