Daten­schutz­erklärung

Einleitung

Wir halten Datenschutz nicht für ein Ärgernis sondern für erforderlich für das gleichberechtigte Miteinander in einer Gesellschaft und für den Schutz jeder und jedes Einzelnen. Deshalb haben wir SMASH so gebaut, dass möglichst wenig personenbezogene Daten verarbeitet oder auch nur erzeugt werden. Wir setzen Cookies nur für Login-Sessions ein. Um SMASH zu benutzen wird im Minimalfall nur eine Email-Adresse benötigt. Unsere Nutzungsstatistiken erzeugen wir anonymisiert.

Außerdem halten wir uns natürlich an geltendes Datenschutzrecht und im Folgenden erläutern wir, welche Daten verarbeitet werden, zu welchem Zweck, von wem, und was im Zusammenhang damit die Rechte der Nutzer:innen sind.

Stand: 01. November 2021

Wir bitten darum, diese Datenschutzerklärung von Zeit zu Zeit auf Änderungen zu prüfen, die eventuell nötig geworden sind. Falls Änderungen zu erneuten oder zusätzlichen Zustimmungen der Nutzer:innen führen oder aus anderen Gründen Informationspflichten unseren Nutzer:innen gegenüber entstehen, werden wir soweit möglich selbstständig darauf hinweisen.

Inhaltsverzeichnis

• 1: Verantwortliche Person

• 2: Überblick über von uns verabeitete Daten

• 3: Allgemeine Hinweise zu verarbeitenden Stellen

• 4: Rechte der Nutzer:innen

• 5: Details zur Verarbeitung und Speicherung personenbezogener Daten

  • 5.1: Hosting

  • 5.2: Email

  • 5.3: OpenID-Connect / Social-Logins

  • 5.4: Datenbank: Sessions und Bestandsdaten

  • 5.5: Zahlungsdaten

  • 5.6: Nutzungsstatistiken

• 6: Rechtsgrundlagen

Verantwortliche Person

Tobias Barth
Türrschmidtstr. 35
10317 Berlin

E-Mail-Adresse: datenschutz@smash-housing.com.

Impressum: https://smash-housing.com/impressum.

Überblick über von uns verabeitete Daten

Nicht registrierte Nutzer:innen sind im Sinne dieses Dokuments solche, die keinen Account bei SMASH registriert haben, sondern lediglich die SMASH-Website besuchen und dort frei zugängliche Inhalte nutzen. Potentiell (Genaueres siehe weiter unten) verarbeiten wir von nicht registrierten Nutzer:innen folgende Arten von personenbezogenen Daten:

• Kontaktdaten (z.B. Email-Adresse)
• Zahlungsdaten (z.B. Bankverbindung, Zahlungsverlauf)
• Kommunikationsdaten und / oder -Inhalte (z.B. Eingaben in Umfrageformularen)
• Metadaten (z.B. IP-Adressen)

Von registrierten Nutzer:innen verarbeiten wir zusätzlich zu den zuvor genannten Daten:

• Bestandsdaten (z.B. Profil-Informationen, Such- und Angebotsdaten)
• Nutzungsdaten (z.B. Zugriffszeiten, Daten zum Erstellen von Nutzungsstatistiken)

Allgemeine Hinweise zu verarbeitenden Stellen

Wir sind auf verschiedene Partner-Unternehmen angewiesen, um SMASH zu betreiben. Dazu gehören Firmen, die etwa Email-, Hosting-, Cloud-, und Datenbank-Dienste anbieten, sowie Zahlungs- und Datenanalyse-Dienstleistungen.

Die Anbieter haben entweder selbst ihren Sitz in Deutschland beziehungsweise in der Europäischen Union oder sind zumindest nach dem Privacy-Shield-Datenschutz-Abkommen zertifiziert. Die Daten werden physisch möglichst in der EU gespeichert.

Für weitere Informationen zum EU-US-Privacy-Shield-Abkommen folge diesem Link.

Rechte der Nutzer:innen

Allen, deren Daten wir bei SMASH verarbeiten, steht eine Reihe von Rechten zu, die sich insbesondere aus der DSGVO ergeben. Um sie wahrzunehmen, reicht einfaches Kontaktieren per Email.

Auskunftsrecht

Nutzer:innen haben das Recht, Auskunft über die sie betreffenden, von uns verarbeiteten beziehungsweise gespeicherten Daten zu verlangen. Außerdem kann eine Kopie der Daten verlangt werden.

Recht auf Datenübertragbarkeit

Nutzer:innen haben das Recht, die über sie gespeicherten Daten in einem gängigen, maschinenlesbaren Format zu erhalten oder die Übermittlung an einen Dritten zu verlangen.

Recht auf Berichtigung

Nutzer:innen haben das Recht, dass sie betreffende gespeicherte Daten berichtigt werden, sofern sie unrichtig oder unvollständig sind.

Recht auf Löschung

Nutzer:innen haben das Recht die sofortige Löschung der sie betreffenden bei uns gespeicherten Daten zu verlangen. Außerdem löschen wir gemäß der DSGVO selbstständig alle persönlichen Daten sobald sie für den Zweck, für den sie erhoben wurden, nicht mehr notwendig sind. Ausnahmen davon beteffen nach Artikel 17 DSGVO rechtliche Verpflichtungen, die der Löschung entgegenstehen, oder Notwendigkeit zur Geltendmachung von Rechtsansprüchen.

Recht auf Einschränkung der Verarbeitung

Unter den rechtlichen Voraussetzungen des Artikels 18 DSGVO können Nutzer:innen verlangen, dass die Verarbeitung ihrer Daten eingeschränkt wird.

Recht auf Information der Empfänger

Nutzer:innen, die die Löschung oder Einschränkung der Verarbeitung sie betreffender Daten verlangt haben, haben das Recht, das alle Empfänger (Dritte), denen wir diese Daten zugänglich gemacht haben, über das Gesuch der Nutzer:in von uns informiert werden.

Recht auf Widerruf

Falls das Speichern persönlicher Daten der Nutzer:innen auf einer Einwilligung basiert, kann diese Einwilligung jederzeit widerrufen werden.

Recht auf Beschwerde

Jenseits und unbeschadet aller anderen Rechtsmittel, die den Nutzer:innen zur Verfügung stehen, haben sie das Recht, sich bei einer Aufsichtsbehörde zu beschwerden, wenn sie der Ansicht sind, dass die Verarbeitung ihrer Daten gegen die DSGVO verstößt.

Details zur Verarbeitung und Speicherung personenbezogener Daten

Hosting

Die SMASH-Website wird bei Vercel gehostet (Vercel Inc., 340 S Lemon Ave #4133, Walnut, CA 91789, USA). Vercel ist nach dem EU-US-Privacy-Shield zertifiziert. Durch den Besuch der SMASH-Website fallen Metadaten wie die IP-Adresse der Nutzer:in, der Zeitpunkt des Seitenaufrufs, Informationen zum aufrufenden Gerät und das genaue Ziel des Aufrufs an. Diese können von Vercel verarbeitet werden. Siehe hierzu auch Vercels eigene Privacy Policy. Derzeit werden diese Daten nicht von SMASH selbst gespeichert.

Dies betrifft sowohl nicht registrierte als auch registrierte Nutzer:innen.

Email

Wir verarbeiten und speichern Email-Adressen von Nutzer:innen wie folgt.

Im Rahmen von Kontaktaufnahmen via Email verarbeiten und speichern wir natürlich die Kontaktdaten und uns übermittelte Kommunikationsinhalte, um Anfragen zu bearbeiten und ggfs. um Nachweispflichten nachkommen zu können.

Unser Email-Hoster ist Zoho (Zoho Corporation GmbH, Trinkausstr. 7, 40213 Düsseldorf). Siehe auch Zohos Datenschutzrichtlinie.

Wir bieten gegebenenfalls an, Informationen oder Neuigkeiten über SMASH an interessierte Nutzer:innen zu versenden (Newsletter). Bei Interesse daran können Nutzer:innen uns ihre Email-Adresse über spezielle Formulare auf der SMASH-Website zukommen lassen. Sie erklären sich damit mit der Verarbeitung ihrer übermittelten Daten einverstanden. Der Versand erfolgt über den Dienst SendGrid von Twilio (Twilio Germany GmbH, Rosenheimer Str. 143C, 81671 München, Telefon +49/89 143 777 310, info@twilio.com). Twilio hat zwar einen Sitz in Deutschland, das Mutterunternehmen ist jedoch in den USA. Daten, die SendGrid und damit Twilio verarbeitet, können in die USA übermittelt werden. Twilio ist nach dem EU-US-Privacy-Shield-Abkommen zertifiziert. Siehe auch Twilios Data Protection Addendum sowie weitere von dort erreichbare Informationen. Anmeldungen zu diesem Service von uns unterliegen grundsätzlich dem Double-Opt-In-Verfahren. Bevor die Anmeldung also wirksam wird, muss das Einverständnis noch einmal per zugesendetem Bestätigungslink bekräftigt werden. Natürlich sind Abmeldungen jederzeit ebenso einfach per Link möglich.

Um den eigentlichen Dienst SMASH zu verwenden, ist eine Email-Adresse notwendig. Sie ist das einzige Datum, das wir von registrierten Nutzer:innen als Bestandsdatum brauchen, um ihnen den Dienst anzubieten bzw. sie daran teilhaben zu lassen. Auch hier wird bei Anmeldeverfahren „Email“ ein Double-Opt-In verwendet, das Missbrauch Dritter verhindert. Die Emails mit dem einmaligen Anmeldelink, die bei diesem Verfahren verschickt werden, werden ebenfalls per SendGrid versendet. Siehe dazu vorherigen Absatz.

Da das Ziel von SMASH ist, Kommunikation zwischen Menschen zu ermöglichen, die zueinander passende Wohnungen anbieten bzw. suchen, werden wir bei erfolgreichen Matches – das heißt, wenn Nutzer:innen gegenseitig ihre angebotenen Wohnungen mit "Mag ich" markiert haben (und nur dann) – dem jeweils anderen Teil des Matches die Email-Adresse der Nutzer:innen zugänglich machen. Ob und wie diese die Information nutzen, liegt nicht mehr im Zuständigkeitsbereich von SMASH sondern ist Privatsache zwischen den Nutzer:innen.

OpenID-Connect / Social-Logins

SMASH bietet auch an, sich mit einem von verschiedenen externen „Identitäts-Anbietern“ zu registrieren und anzumelden. Damit ist es möglich, sich zum Beispiel mit dem bestehenden Google-Account oder Facebook-Account anzumelden. Die Nutzer:in wird bei diesem Verfahren auf die Anmelde-Seite des jeweiligen Anbieters weitergeleitet, der nach erfolgreichen Login um Bestätigung bittet, dass SMASH Profildaten nutzen darf. Nach der Bestätigung wird die Nutzer:in zurück zu SMASH geleitet, wo sie nun angemeldet ist.

Bei dieser Art der Anmeldung wird ein kleines Set der Profildaten, die beim externen Dienst vorliegen, an SMASH übermittelt: Der angegebene Name, die Email-Adresse, ggfs. ein Spitzname und / oder ein Profilbild. Wir verwenden in SMASH den Namen und die Email-Adresse als Bestandsdaten, die im Falle eines Matches auch an die Match-Partner:in weitergegeben (siehe Email). Derzeit ist es nicht möglich, bei SMASH eine andere Email-Adresse zu verwenden als die beim externen Dienst hinterlegte. SMASH speichert außerdem für die korrekte Zuordnung, mit welchem Identitäts-Anbieter die Nutzer:in sich bei SMASH registriert hat.

Nach dem Klick auf den „Anmelden mit …“ Button (nicht vorher!) wird eine Verbindung mit dem Servern des jeweiligen Anbieters aufgenommen. Dabei erhält dieser natürlich Daten der Nutzer:in wie ihre IP-Adresse und auch, dass sie von SMASH aus versucht, sich anzumelden. Nach erfolgreicher Authentifizierung beim externen Anbieter, wird dieser auch speichern, dass eine Authorisierung für den Dienst SMASH besteht. Das ermöglicht es auch, dort diese Authorisierung wieder zu entziehen.

Um die vom jeweiligen Anbieter übernommenen und bei SMASH gespeicherten Daten zu löschen ist es nötig den SMASH-Account zu löschen. Dies ist möglich über die Profilseite der Nutzer:in in SMASH. Dort gibt es den Button "Account löschen". Nach Löschung des Accounts werden auch auch alle vom externen Anbieter übernommenen Daten der Nutzer:in aus SMASHs Speichern entfernt.

Datenbank: Sessions und Bestandsdaten

Alle Daten, die wir zum Betrieb von SMASH selbst benötigen und speichern, also Bestandsdaten von registrierten Nutzer:innen, werden in einem Datenbank-Cluster abgelegt bei MongoDB (MongoDB, Inc., 1633 Broadway, 38th Floor New York, NY 10019). Der Cluster befindet sich in Frankfurt am Main, Deutschland. Siehe auch die Privacy Policy. Zu beachten ist, dass personenbezogene Daten aus SMASH nicht direkt von MongoDB verarbeitet werden. MongoDB wird lediglich als Infrastruktur-Anbieter von SMASH genutzt wird. Innerhalb der Infrastruktur, die uns bereitgestellt wird, legen wir selbst Datenbanken an und speichern dort die Betriebsdaten von SMASH. MongoDB ist jedoch auch unter dem EN-US-Privacy-Shield-Abkommen zertifiziert.

Zahlungsdaten

Es gibt die Möglichkeit, SMASH als Anerkennung für die kostenlos zur Verfügung gestellten Dienste freiwillig Zahlungen zukommen zu lassen. Das geht einerseites über den Weg einer normalen SEPA-Überweisung. In diesem Fall ist kein weiterer Dienstleister dazwischen geschaltet und die Verarbeitung der Zahlungsdaten der Überweisenden (Bankverbindung) werden von uns nur gespeichert, soweit es für gesetzliche Nachweiszwecke erforderlich ist. Falls die Nutzer:in wünscht, zum Dank von SMASH öffentlich erwähnt zu werden, nutzen wir die Zahlungsdaten, um abzugleichen, ob jemand uns tatsächlich Geld hat zukommen lassen. Eine Weitergabe oder weitere Nutzung beziehungsweise Verarbeitung erfolgt nicht.

Neben einer normalen SEPA-Überweisung bieten wir die Möglichkeit, den etwas komfortableren Weg über Zahlungen via Stripe zu gehen. Stripe (Stripe Payments Europe Limited 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, D02 H210, Ireland) ist ein Zahlungsdienstleister. Kontakt zu den Servern von Stripe wird erst aufgenommen, wenn die Nutzer:in auf den Button "Stripe laden" klickt. Erst dann wird Programmcode von Stripe in den Browser geladen, der laut Stripe vor allem dazu dient, alle Beteiligten vor Betrug zu schützen. Dabei werden Metadaten, insbesondere IP-Adresse und Browser- sowie Geräte-Details an Stripe übertragen. Nachdem die Nutzer:in einen Betrag in das Formular auf unserer Website eingegeben hat, wird ihr Browser auf eine sogenannte "Checkout-Seite" von Stripe umgeleitet. Diese Seite ist von Stripe gehostet und betrieben. Alle (Zahlungs-) Daten, die dort eingegeben werden, werden an Stripe übermittelt. Sie sind notwendig, um die Zahlung abzuwickeln und der Nutzer:in eine Bestätigung per Email zu schicken. Es besteht ein Data Processing Agreement mit Stripe. Die Privacy Policy von Stripe ist auf deren Website zu finden. Zu beachten ist, dass wir selbst keine zahlungsrelevanten Nutzer:innen-Daten an Stripe übertragen. Lediglich der gewünschte Betrag wird vorausgefüllt. Alle weiteren Daten übergibt die Nutzer:in selbst direkt an Stripe.

Nutzungsstatistiken

Wir verwenden Plausible (Plausible Insights OÜ, Västriku tn 2, 50403, Tartu, Estland), um anonymisierte Nutzungsstatistiken von SMASH zu erstellen. Dies betrifft sowohl registrierte als auch nicht registrierte Nutzer:innen. Die vollständige Liste von Datenpunkten, die Plausible dabei von Nutzer:innen erhebt ist folgende: Die URL (Adresse) der aufgerufenen Seite, der HTTP Referrer (von welcher Website kam die Nutzer:in), den verwendeten Browser, allerdings nur Name (z.B. Firefox) und Version (z.B. 78.0), das verwendete Betriebssystem und dessen Version (z.B. macOS 10.15), der Geräte-Typ (z.B. Desktop oder Smartphone) und der Staat aus dem der Seitenaufruf kam (z.B. Deutschland). Plausible erzeugt auch keine Cookies, die die Nutzer:innen identifizieren und „verfolgen“ können. Genaueres zur Erzeugung der Statistiken und Datenverwendung bei Plausible ist in deren Data-Policy zu finden. Außerdem noch der Hinweis auf Plausibles Privacy Policy. Ein Data Processing Agreement mit Plausible besteht ebenfalls.

Rechtsgrundlagen

Grundsätzlich unterliegen sämtliche Nutzungen von personenbezogenen Daten in SMASH der Datenschutz-Grundverordnung (DSGVO), sowie dem Bundesdatenschutzgesetz (BDSG).

Die Grundlage unserer Datenverarbeitung ist bei allen aufgeführten Datenarten DSGVO Art. 6 Abs. 1 lit. f (Wahrung der berechtigten Interessen) oder lit. c (zur Erfüllung einer rechtlichen Verpflichtung erforderlich). Bezüglich der Bestandsdaten der Nutzer:innen-Profile sowie der Email-Adressen soweit sie zur Identifikations eines SMASH-Accounts dienen soll, ist die Grundlage Art. 6 Abs. 1 lit. b (Erfüllung eines Vertrags oder vorvertragliche Maßnahmen). Wir stellen technisch sicher, dass sich Nutzer:innen nur anmelden können, wenn sie bestätigen, den Hinweis zur Verwendung der Email-Adresse zur Kenntnis genommen haben.