Datenschutzerklärung

Diese Datenschutzerklärung der VPX Consult srl (Herausgeber der App Allergio) beschreibt, wie wir Ihre personenbezogenen Daten erfassen, nutzen und schützen, wenn Sie die mobile Anwendung Allergio («Dienste») verwenden.

Bei Fragen oder zur Ausübung Ihrer Rechte kontaktieren Sie uns unter privacy@allergio.net.

Zusammenfassung der wichtigsten Punkte

• Von uns verarbeitete Daten: Konto (E-Mail, Name, Foto), Allergieprofile (Vorname, Nachname, Foto, Allergenlisten), Einladungen, E-Mail-Versandprotokolle, Benachrichtigungstoken, Aboart.
• Gesundheitsdaten: Allergenlisten sind Gesundheitsdaten; wir verarbeiten sie nur zur Erbringung des Dienstes (Scan, Profilfreigabe) und auf Grundlage des Vertrags und Ihrer Einwilligung.
• Weitergabe: an Auftragsverarbeiter (Google/Firebase, Mailgun, OpenFoodFacts für Produkte, Apple/Google für Abos); wir verkaufen Ihre Daten nicht.
• Ihre Rechte: Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit, Widerspruch, Beschwerde bei der Datenschutzbehörde (Belgien). Kontakt: privacy@allergio.net. Frist für die Antwort: 1 Monat.

Inhaltsverzeichnis

• 1. Verantwortlicher
• 2. Welche Daten erfassen wir?
• 3. Gesundheitsdaten (Allergene)
• 4. Zwecke und Rechtsgrundlagen
• 5. Empfänger und Auftragsverarbeiter
• 6. Google-Anmeldung (Google API)
• 7. Übermittlungen außerhalb des EWR
• 8. Aufbewahrungsdauer
• 9. Datensicherheit
• 10. Ihre Rechte
• 11. Minderjährige
• 12. Automatisierte Entscheidungsfindung
• 13. Aktualisierungen der Erklärung
• 14. Kontakt

1. Verantwortlicher

VPX Consult srl
Unternehmensnummer (BCE): 1011.667.933
USt-IdNr.: BE 1011.667.933
9 Route du Lion, 1420 Braine-l\’Alleud, Belgien
E-Mail: privacy@allergio.net

2. Welche Daten erfassen wir?

Kurz: Wir erfassen die für die Kontoerstellung, die Verwaltung von Allergieprofilen, Einladungen und den ordnungsgemäßen Betrieb des Dienstes erforderlichen Daten.

Von Ihnen bereitgestellte Daten:

• Konto: E-Mail-Adresse, Passwort (sicher gespeichert durch Firebase Auth), Anzeigename, Profilfoto (optional).
• Allergieprofile: Vorname, Nachname, Foto, Allergenlisten pro Profil.
• Einladungen: E-Mail-Adressen der von Ihnen eingeladenen Personen für den Zugang zu einem Profil.

Automatisch erfasste oder erzeugte Daten:

• Kontokennung und Daten (Erstellung, letzte Anmeldung); Aboart und Testzeiträume.
• E-Mail-Versandprotokolle (Einladungen, Passwort zurücksetzen): E-Mailtyp, Status, Datum und bei Fehlern technische Angaben (ohne Nachrichteninhalt).
• Push-Benachrichtigungstoken (Firebase Cloud Messaging), wenn Sie Benachrichtigungen zulassen.

In-App-Käufe (Abos) werden von Google Play und dem App Store abgewickelt; wir erhalten keine Zahlungskartendaten. Wir speichern nur die Aboart und zugehörige Daten zum Freischalten der Funktionen.

Bei Produktsuchen (Barcode oder Text) senden wir nur die Suchbegriffe an OpenFoodFacts; keine personenbezogenen Daten (E-Mail, Name, Allergene) werden an OpenFoodFacts übermittelt.

3. Gesundheitsdaten (Allergene)

Kurz: Allergenlisten sind Gesundheitsdaten. Wir verarbeiten sie nur für den Dienst (Produktprüfung, Profilfreigabe) und auf einer geeigneten Rechtsgrundlage.

Die von Ihnen in den Profilen angegebenen Allergeninformationen sind Gesundheitsdaten im Sinne der DSGVO. Wir verarbeiten sie nur: (1) zur Erbringung des Scan-Dienstes und zur Anzeige der für jedes Profil gefährlichen Allergene; (2) zur Freigabe von Profilen (Einladungen). Wir nutzen sie nicht für andere Zwecke (Werbung, Weiterverkauf usw.). Rechtsgrundlage ist die Vertragserfüllung und, soweit das Recht es verlangt, Ihre ausdrückliche Einwilligung zur Verarbeitung von Gesundheitsdaten.

4. Zwecke und Rechtsgrundlagen

Kurz: Wir verarbeiten Ihre Daten zur Erbringung des Dienstes, zur Verwaltung von Konten und Einladungen, zur Sicherheit und zur Einhaltung des Rechts.

• Vertragserfüllung: Kontoerstellung und -verwaltung, Profile, Einladungen, Produktscan, Abos.
• Berechtigtes Interesse: technische Protokolle und Begrenzung der versendeten E-Mails (Missbrauchsschutz), Systemsicherheit.
• Einwilligung: Push-Benachrichtigungen, Profilfoto (wenn optional).
• Rechtliche Verpflichtungen: Aufbewahrung von Nachweisen oder Reaktion auf eine rechtmäßige Anfrage.

5. Empfänger und Auftragsverarbeiter

Kurz: Wir setzen Dienstleister ein, die Ihre Daten in unserem Auftrag und im Rahmen von Verträgen und Vertraulichkeitsverpflichtungen verarbeiten.

Wir geben Ihre Daten nur an die folgenden Anbieter weiter, die in unserem Namen und nach unseren Anweisungen handeln:

• Google (Firebase): Authentifizierung, Datenbank (Firestore), Fotospeicher (Storage), Backend-Funktionen (Cloud Functions), Benachrichtigungen (FCM). Datenschutzerklärung von Google.
• Mailgun: Versand von E-Mails (Einladungen, Passwort zurücksetzen). Verarbeitung in der EU. Datenschutzerklärung Mailgun.
• OpenFoodFacts: Produktsuche per Barcode oder Text. Wir übermitteln ihnen keine personenbezogenen Daten. Nutzungsbedingungen OpenFoodFacts.
• Apple (App Store) und Google (Play Store): Abwicklung von In-App-Käufen; ihre Richtlinien gelten für Zahlungen. Datenschutz Apple, Datenschutz Google.

Wir verkaufen Ihre personenbezogenen Daten nicht.

6. Google-Anmeldung (Google API)

Wenn Sie die Anmeldung mit einem Google-Konto nutzen, entspricht unsere Nutzung von Daten aus den Google-APIs der Google API Services User Data Policy, einschließlich der Anforderungen an die «eingeschränkte Nutzung».

7. Übermittlungen außerhalb des EWR

Kurz: Einige Anbieter (u. a. Google) haben ihren Sitz in den USA. Wir rahmen diese Übermittlungen mit geeigneten Garantien ein.

Ihre Daten können von Anbietern mit Sitz außerhalb des Europäischen Wirtschaftsraums (EWR) verarbeitet werden, insbesondere in den USA (Google/Firebase). Wir stellen geeignete Garantien sicher, z. B. die Standardvertragsklauseln der EU-Kommission (oder gleichwertig), damit Ihre Daten gemäß europäischem Recht geschützt sind. Sie können eine Kopie dieser Garantien unter privacy@allergio.net anfordern.

8. Aufbewahrungsdauer

Kurz: Wir bewahren Ihre Daten, solange Ihr Konto und Ihre Profile bestehen, und danach für eine kurze Frist nach Löschung; E-Mail-Protokolle werden nur begrenzt aufbewahrt.

• Konto und Profile: bis zur Löschung Ihres Kontos (bzw. des betreffenden Profils), danach 30 Tage vor endgültiger Löschung aus Backups, sofern keine gesetzliche Aufbewahrungspflicht besteht.
• E-Mail-Versandprotokolle: 12 Monate, danach Löschung oder Anonymisierung.
• Einladungen: bis zum Ablauf oder Widerruf der Einladung, danach Löschung gemäß den obigen Regeln.

9. Datensicherheit

Kurz: Wir setzen technische und organisatorische Maßnahmen zum Schutz Ihrer Daten um; keine Übertragung oder Speicherung ist jedoch völlig unverwundbar.

Wir setzen angemessene Sicherheitsmaßnahmen ein (eingeschränkter Zugriff, Verschlüsselung, Verträge mit Auftragsverarbeitern), um Ihre personenbezogenen Daten zu schützen. Keine Übertragung über das Internet und keine elektronische Speicherung ist jedoch völlig sicher. Wir können nicht garantieren, dass kein unbefugter Zugriff, Verlust oder keine Änderung eintritt; wir verpflichten uns, auf Vorfälle zu reagieren und Sie zu informieren, wenn das Gesetz es vorsieht.

10. Ihre Rechte

Kurz: Sie haben das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Übertragbarkeit und Widerspruch; Sie können die Einwilligung widerrufen und bei der Aufsichtsbehörde Beschwerde einlegen.

Sie haben folgende Rechte in Bezug auf Ihre personenbezogenen Daten:

• Auskunft: Bestätigung, dass wir Ihre Daten verarbeiten, und eine Kopie davon erhalten.
• Berichtigung: unrichtige oder unvollständige Daten berichtigen lassen.
• Löschung: Löschung Ihrer Daten in den von der DSGVO vorgesehenen Fällen verlangen.
• Einschränkung: in bestimmten Situationen die Einschränkung der Verarbeitung verlangen.
• Übertragbarkeit: Ihre Daten in einem strukturierten, gängigen Format erhalten.
• Widerspruch: der Verarbeitung aus berechtigtem Interesse widersprechen.
• Widerruf der Einwilligung: wenn die Verarbeitung auf der Einwilligung beruht, können Sie diese jederzeit widerrufen, ohne die Rechtmäßigkeit der bisherigen Verarbeitung zu berühren.

Zur Ausübung dieser Rechte kontaktieren Sie uns unter privacy@allergio.net oder der Postanschrift in § 1. Wir verpflichten uns, innerhalb von einem Monat zu antworten.

Sie haben das Recht, bei der Datenschutzbehörde Ihres Landes Beschwerde einzulegen. In Belgien: Datenschutzbehörde (APD).

11. Minderjährige

Profile können Minderjährige betreffen (z. B. ein von einem Elternteil verwaltetes «Kind»-Profil). Wir legen kein Mindestalter für die Nutzung des Dienstes fest. Wird ein Profil eines Minderjährigen erstellt oder werden Daten zu ihm übermittelt, gehen wir davon aus, dass der Kontoinhaber (Elternteil oder Vormund) der Verarbeitung zustimmt. Bitte erstellen Sie kein Konto oder Profil für einen Minderjährigen ohne elterliche Verantwortung, ohne sich der erforderlichen Einwilligung zu vergewissern.

12. Automatisierte Entscheidungsfindung

Wir treffen keine Entscheidungen mit Rechtswirkung oder ähnlich bedeutsamen Auswirkungen für Sie ausschließlich auf der Grundlage einer automatisierten Verarbeitung (kein derartiges Profiling).

13. Aktualisierungen der Erklärung

Wir können diese Erklärung aktualisieren, um Änderungen unserer Praxis oder der Rechtslage widerzuspiegeln. Das Datum «Zuletzt aktualisiert» am Anfang des Dokuments wird entsprechend geändert. Bei wesentlichen Änderungen informieren wir Sie durch eine Mitteilung in der App oder per E-Mail. Wir empfehlen, diese Seite regelmäßig zu konsultieren.

14. Kontakt

Bei Fragen zu dieser Erklärung oder zur Ausübung Ihrer Rechte:

VPX Consult srl
9 Route du Lion, 1420 Braine-l\’Alleud, Belgien
E-Mail: privacy@allergio.net