Tafel.app Logo

Datenschutzerklärung

1. Verantwortlicher für die Datenverarbeitung

Verantwortlicher im Sinne der DSGVO und anderer nationaler Datenschutzgesetze sowie sonstiger datenschutzrechtlicher Bestimmungen ist:

Motus UG
Kellerstraße 7
85049 Ingolstadt
E-Mail: post@tafel.app

2. Begriffsbestimmungen

Unsere Datenschutzerklärung beruht auf den Begrifflichkeiten, die durch den Europäischen Richtlinien- und Verordnungsgeber beim Erlass der Datenschutz-Grundverordnung (DSGVO) verwendet wurden. Unsere Datenschutzerklärung soll sowohl für die Öffentlichkeit als auch für unsere Kunden und Geschäftspartner einfach lesbar und verständlich sein. Um dies zu gewährleisten, möchten wir vorab die verwendeten Begrifflichkeiten erläutern.

Wir verwenden in dieser Datenschutzerklärung unter anderem die folgenden Begriffe:

  • Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden "betroffene Person") beziehen.
  • Betroffene Person: Jede identifizierte oder identifizierbare natürliche Person, deren personenbezogene Daten von dem für die Verarbeitung Verantwortlichen verarbeitet werden.
  • Verarbeitung: Jeder mit oder ohne Hilfe automatisierter Verfahren ausgeführte Vorgang oder jede solche Vorgangsreihe im Zusammenhang mit personenbezogenen Daten wie das Erheben, das Erfassen, die Organisation, das Ordnen, die Speicherung, die Anpassung oder Veränderung, das Auslesen, das Abfragen, die Verwendung, die Offenlegung durch Übermittlung, Verbreitung oder eine andere Form der Bereitstellung, den Abgleich oder die Verknüpfung, die Einschränkung, das Löschen oder die Vernichtung.
  • Einwilligung: Jede von der betroffenen Person freiwillig für den bestimmten Fall in informierter Weise und unmissverständlich abgegebene Willensbekundung in Form einer Erklärung oder einer sonstigen eindeutigen bestätigenden Handlung, mit der die betroffene Person zu verstehen gibt, dass sie mit der Verarbeitung der sie betreffenden personenbezogenen Daten einverstanden ist.

3. Erhebung und Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten, die wir im Rahmen unserer Geschäftsbeziehung mit Ihnen oder zur Bereitstellung unserer Software und der damit verbundenen Dienstleistungen benötigen. Dies betrifft insbesondere folgende Datenkategorien und Verarbeitungsvorgänge:

3.1. Daten von Tafel-Kunden

Zur Verwaltung von Tafel-Kunden und zur Organisation der Lebensmittelausgabe erheben und verarbeiten wir folgende Daten:

  • Stammdaten: Vorname, Nachname, Geburtsdatum, Adresse (Straße, Hausnummer, PLZ, Ort), Telefonnummer, E-Mail-Adresse, Kundennummer.
  • Haushaltsdaten: Anzahl der Erwachsenen und Kinder im Haushalt.
  • Identifikationsdaten: Ggf. Ausweisnummer und Gültigkeitsdatum des Ausweises, Foto des Kunden (zur Identifikation und Erstellung einer Kundenkarte).
  • Besondere Kategorien personenbezogener Daten (Art. 9 DSGVO):
    • Religionszugehörigkeit (freiwillige Angabe, z.B. zur Berücksichtigung bei der Lebensmittelauswahl).
    • Gesundheitsdaten, wie Allergien und Unverträglichkeiten, Behinderungen (freiwillige Angaben, zur Berücksichtigung bei der Lebensmittelausgabe und zur bedarfsgerechten Unterstützung).
    • Die Angabe der Muttersprache (freiwillige Angabe, zur Verbesserung der Kommunikation).
    Die Verarbeitung dieser besonderen Kategorien personenbezogener Daten erfolgt ausschließlich auf Grundlage Ihrer ausdrücklichen Einwilligung (Art. 9 Abs. 2 lit. a DSGVO).
  • Zustimmungen: Protokollierung der Annahme der Datenschutzerklärung und des Zeitpunkts der Annahme (ggf. mit IP-Adresse).
  • Dokumente: Von Ihnen bereitgestellte oder für Sie erstellte Dokumente (z.B. Kundenkarte als PDF, Nachweise).
  • Interaktionsdaten: Teilnahme an Ausgabeterminen, Nutzung von Warteschlangensystemen, protokollierte Kundenereignisse (z.B. Erstellung, Aktualisierung, Löschung des Kundenprofils durch Mitarbeiter).

Die Erhebung dieser Daten erfolgt primär durch autorisierte Mitarbeiter der Tafel über die Verwaltungssoftware (Filament Admin Panel) oder durch die Kunden selbst über die "Tafel.app".

3.2. Daten von Mitarbeitern der Tafeln und Nutzern der Verwaltungssoftware

  • Identifikations- und Kontaktdaten: Name, E-Mail-Adresse, ggf. Telefonnummer.
  • Zugangsdaten: Benutzername, verschlüsseltes Passwort.
  • Rollenzuweisungen und Berechtigungen innerhalb der Software.
  • Protokolldaten: Z.B. wer bestimmte Aktionen in der Software durchgeführt hat (z.B. Erstellung einer Kundenkarte).

3.3. "Tafel.app"

Wir bieten eine mobile Anwendung ("Tafel.app") für Tafel-Kunden an. Über diese App können Sie folgende Funktionen nutzen und dabei folgende Daten verarbeiten (können):

  • Einsicht in Ihre bei uns gespeicherten Stammdaten und Dokumente.
  • Informationen zu Terminen und Ihrer Ausgabestelle.
  • Aktualisierung bestimmter eigener Daten (sofern diese Funktion implementiert ist).
  • Empfang von Benachrichtigungen.

Die Datenübertragung zwischen der App und unserem Backend erfolgt verschlüsselt über gesicherte API-Schnittstellen. Für die Nutzung der "Tafel.app" gelten ggf. separate Datenschutzhinweise direkt in der App, die detailliert über die Datenerhebung auf Ihrem Endgerät informieren.

3.4. "Tafel Scanner"

Mitarbeiter der Tafeln nutzen eine mobile Anwendung ("Tafel Scanner") zur Identifizierung von Tafel-Kunden und zur Erfassung der Teilnahme an Ausgabeterminen. Dabei werden folgende Daten verarbeitet:

  • Scannen eines Identifikationsmerkmals des Kunden (z.B. QR-Code auf der Kundenkarte), wodurch die Kundennummer an das System übermittelt wird.
  • Zeitpunkt des Scans und die zugehörige Warteschlangen-ID.

Diese Daten werden an unser Backend-System übermittelt und dem jeweiligen Kundenprofil sowie der Warteschlange zugeordnet. Der "Tafel Scanner" kommuniziert über gesicherte API-Schnittstellen, die durch spezielle Zugriffstoken (API-Schlüssel) geschützt sind. Es werden keine personenbezogenen Daten der Mitarbeiter auf dem Scangerät selbst dauerhaft gespeichert, die über die temporäre Verarbeitung für den Scanvorgang hinausgehen.

3.5. Automatisch erfasste Daten bei Nutzung unserer Webservices (Backend/Web-Logins)

Bei jedem Aufruf unserer Weboberfläche (z.B. Login-Bereich für Mitarbeiter) oder API-Endpunkte können technisch bedingt folgende Daten erfasst werden:

  • IP-Adresse des anfragenden Geräts
  • Datum und Uhrzeit des Zugriffs
  • Name und URL der abgerufenen Datei/Seite
  • Übertragene Datenmenge
  • Meldung, ob der Abruf erfolgreich war
  • Erkennungsdaten des verwendeten Browser- und Betriebssystems
  • Webseite, von der aus der Zugriff ggf. erfolgt (Referrer-URL)

Diese Daten werden temporär in Logfiles auf unseren Servern gespeichert.

4. Zwecke der Datenverarbeitung und Rechtsgrundlagen

Wir verarbeiten Ihre personenbezogenen Daten zu folgenden Zwecken und auf Basis folgender Rechtsgrundlagen:

  • Zur Erfüllung vertraglicher Pflichten oder zur Durchführung vorvertraglicher Maßnahmen (Art. 6 Abs. 1 S. 1 lit. b DSGVO):
    • Verwaltung der Tafel-Kunden und Organisation der Lebensmittelausgabe.
    • Bereitstellung der Verwaltungssoftware für Tafel-Mitarbeiter.
    • Kommunikation mit Ihnen zur Erfüllung der genannten Zwecke.
    • Bereitstellung der Funktionalitäten der "Tafel.app" und "Tafel Scanner".
  • Aufgrund Ihrer Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO, Art. 9 Abs. 2 lit. a DSGVO):
    • Verarbeitung besonderer Kategorien personenbezogener Daten (Gesundheitsdaten wie Allergien/Behinderungen, Religionszugehörigkeit, ggf. Muttersprache als Indikator für ethnische Herkunft) nach Ihrer ausdrücklichen Einwilligung.
    • Speicherung und Anzeige Ihres Fotos (Einwilligung wird bei Upload eingeholt).
    • Versand von Newslettern oder Informationen (sofern angeboten und von Ihnen abonniert).

    Eine erteilte Einwilligung können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Der Widerruf berührt die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung nicht.

  • Im Rahmen einer Interessenabwägung (Art. 6 Abs. 1 S. 1 lit. f DSGVO):
    • Gewährleistung der IT-Sicherheit und des IT-Betriebs unserer Systeme (z.B. Speicherung von Logfiles, Authentifizierung mittels API-Token).
    • Geltendmachung rechtlicher Ansprüche und Verteidigung bei rechtlichen Streitigkeiten.
    • Verhinderung und Aufklärung von Straftaten.
    • Zur Verbesserung unserer Angebote und Dienstleistungen (ggf. nach Pseudonymisierung/Anonymisierung).
    • Interne Protokollierung und Nachvollziehbarkeit von administrativen Vorgängen.

    Unser berechtigtes Interesse besteht darin, eine funktionierende, sichere und nutzerfreundliche Softwarelösung bereitzustellen und unsere rechtlichen Verpflichtungen zu erfüllen.

  • Aufgrund gesetzlicher Vorgaben (Art. 6 Abs. 1 S. 1 lit. c DSGVO):
    • Erfüllung handels- und steuerrechtlicher Aufbewahrungspflichten.

5. Datenweitergabe

Eine Übermittlung Ihrer persönlichen Daten an Dritte zu anderen als den im Folgenden aufgeführten Zwecken findet nicht statt.

Wir geben Ihre persönlichen Daten nur an Dritte weiter, wenn:

  • Sie Ihre nach Art. 6 Abs. 1 S. 1 lit. a DSGVO ausdrückliche Einwilligung dazu erteilt haben.
  • die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. f DSGVO zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist und kein Grund zur Annahme besteht, dass Sie ein überwiegendes schutzwürdiges Interesse an der Nichtweitergabe Ihrer Daten haben.
  • für den Fall, dass für die Weitergabe nach Art. 6 Abs. 1 S. 1 lit. c DSGVO eine gesetzliche Verpflichtung besteht.
  • dies gesetzlich zulässig und nach Art. 6 Abs. 1 S. 1 lit. b DSGVO für die Abwicklung von Vertragsverhältnissen mit Ihnen erforderlich ist.

5.1. Auftragsverarbeiter

Wir setzen für den Betrieb unserer IT-Systeme und für bestimmte Dienstleistungen externe Dienstleister ein (z.B. Hosting-Provider für das Backend). Diese Dienstleister verarbeiten Ihre Daten ausschließlich in unserem Auftrag und auf unsere Weisung hin (Auftragsverarbeitung gemäß Art. 28 DSGVO). Wir haben mit diesen Dienstleistern entsprechende Verträge zur Auftragsverarbeitung geschlossen, die sicherstellen, dass Ihre Daten geschützt sind.

Unser primärer Hosting-Anbieter ist: [Name und Sitz des Hosting-Anbieters, z.B. Hetzner Online GmbH, Deutschland]. Die Server befinden sich in [Standort der Server, z.B. Deutschland/EU].

5.2. OnlyOffice-Integration (falls genutzt und extern)

Unsere Software bietet möglicherweise eine Funktion zur Anzeige von Dokumenten mittels einer Integration von "OnlyOffice".

Die OnlyOffice-Instanz wird von uns selbst auf unseren Servern betrieben. Es findet keine Datenweitergabe an externe OnlyOffice-Betreiber statt.

6. Cookies

Unsere Weboberfläche (z.B. Login-Bereich für Mitarbeiter) verwendet Cookies. Cookies sind kleine Textdateien, die auf Ihrem Endgerät gespeichert werden und die Ihr Browser speichert. Sie dienen dazu, unser Angebot nutzerfreundlicher, effektiver und sicherer zu machen.

Wir verwenden primär sogenannte "Session-Cookies". Sie werden nach Ende Ihres Besuchs oder nach einer konfigurierten Zeitspanne (siehe unten) automatisch gelöscht. Diese Cookies ermöglichen es uns, Ihren Browser beim nächsten Besuch wiederzuerkennen und z.B. Ihre Sitzung nach einem Login aufrechtzuerhalten. Sie sind technisch notwendig für die Grundfunktionalität der Weboberfläche.

Die Rechtsgrundlage für die Verarbeitung personenbezogener Daten unter Verwendung technisch notwendiger Cookies ist Art. 6 Abs. 1 lit. f DSGVO (berechtigtes Interesse an einer funktionierenden und sicheren Webseite).

Die Lebensdauer der von uns gesetzten Session-Cookies beträgt in der Regel 120 Minuten. Das Session-Cookie verfällt nicht automatisch beim Schließen des Browsers. Die Übertragung der Cookie-Informationen erfolgt (prüfen Sie Ihre SESSION_SECURE_COOKIE Einstellung!). Die Cookies sind so konfiguriert, dass sie nicht durch clientseitiges JavaScript ausgelesen werden können (HttpOnly). Der SameSite-Attribut ist auf "lax" gesetzt.

Sie können Ihren Browser so einstellen, dass Sie über das Setzen von Cookies informiert werden und Cookies nur im Einzelfall erlauben, die Annahme von Cookies für bestimmte Fälle oder generell ausschließen sowie das automatische Löschen der Cookies beim Schließen des Browsers aktivieren. Bei der Deaktivierung von Cookies kann die Funktionalität dieser Website eingeschränkt sein.

[Falls weitere Cookies (z.B. für Analyse, Marketing) durch eingebundene Dienste auf den Verwaltungsseiten verwendet werden, müssen diese hier detailliert mit Zweck, Rechtsgrundlage (Einwilligung), Anbieter und Speicherdauer aufgeführt werden. Ein Cookie-Consent-Banner wäre dann erforderlich.]

7. Speicherdauer und Datenlöschung

Wir verarbeiten und speichern Ihre personenbezogenen Daten nur für den Zeitraum, der zur Erreichung des Speicherungszwecks erforderlich ist oder sofern dies durch den europäischen Richtlinien- und Verordnungsgeber oder einen anderen Gesetzgeber in Gesetzen oder Vorschriften, welchen der Verantwortliche unterliegt, vorgesehen wurde.

Entfällt der Speicherungszweck oder läuft eine gesetzlich vorgeschriebene Speicherfrist ab, werden die personenbezogenen Daten routinemäßig und entsprechend den gesetzlichen Vorschriften gesperrt oder gelöscht.

Wir verwenden in unserer Software die Funktion des "Soft Delete". Das bedeutet, dass als gelöscht markierte Datensätze (z.B. von Tafel-Kunden) zunächst nicht endgültig aus der Datenbank entfernt, sondern als "gelöscht" gekennzeichnet und für den regulären Zugriff gesperrt werden. Dies dient der Nachvollziehbarkeit und der Möglichkeit zur Wiederherstellung im Bedarfsfall. Die endgültige Löschung erfolgt nach Ablauf definierter Fristen (z.B. [konkrete Frist für endgültige Löschung nach Soft-Delete nennen, falls definiert]) oder auf Ihr explizites Verlangen hin, sofern keine gesetzlichen Aufbewahrungspflichten entgegenstehen.

Typische Aufbewahrungsfristen ergeben sich beispielsweise aus handels- und steuerrechtlichen Vorschriften (z.B. 6 oder 10 Jahre für bestimmte Dokumente und Buchungsbelege).

8. Ihre Rechte als betroffene Person

Sie haben gegenüber uns folgende Rechte hinsichtlich der Sie betreffenden personenbezogenen Daten:

  • Recht auf Auskunft (Art. 15 DSGVO): Sie können Auskunft über Ihre von uns verarbeiteten personenbezogenen Daten verlangen.
  • Recht auf Berichtigung (Art. 16 DSGVO): Sie können die Berichtigung unrichtiger oder Vervollständigung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen.
  • Recht auf Löschung (Art. 17 DSGVO): Sie können die Löschung Ihrer bei uns gespeicherten personenbezogenen Daten verlangen, soweit nicht die Verarbeitung zur Ausübung des Rechts auf freie Meinungsäußerung und Information, zur Erfüllung einer rechtlichen Verpflichtung, aus Gründen des öffentlichen Interesses oder zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen erforderlich ist.
  • Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO): Sie können die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten verlangen.
  • Recht auf Datenübertragbarkeit (Art. 20 DSGVO): Sie können verlangen, Ihre personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder die Übermittlung an einen anderen Verantwortlichen zu verlangen.
  • Recht auf Widerruf erteilter Einwilligungen (Art. 7 Abs. 3 DSGVO): Sie können eine einmal erteilte Einwilligung jederzeit uns gegenüber widerrufen.
  • Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DSGVO): Sie haben das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer personenbezogenen Daten durch uns zu beschweren. Die für uns zuständige Aufsichtsbehörde ist in der Regel die Landesdatenschutzbehörde Ihres Bundeslandes oder des Sitzes unserer Organisation. Eine Liste der Aufsichtsbehörden finden Sie z.B. hier: BFDI - Anschriften und Links.

Zur Geltendmachung Ihrer Rechte können Sie sich jederzeit an die unter Ziffer 1 genannten Kontaktdaten wenden.

9. Widerspruchsrecht (Art. 21 DSGVO)

Sofern Ihre personenbezogenen Daten auf Grundlage von berechtigten Interessen gemäß Art. 6 Abs. 1 S. 1 lit. f DSGVO verarbeitet werden, haben Sie das Recht, gemäß Art. 21 DSGVO Widerspruch gegen die Verarbeitung Ihrer personenbezogenen Daten einzulegen, soweit dafür Gründe vorliegen, die sich aus Ihrer besonderen Situation ergeben.

Möchten Sie von Ihrem Widerspruchsrecht Gebrauch machen, genügt eine E-Mail an die unter Ziffer 1 genannte Kontaktadresse.

Im Falle eines Widerspruchs werden wir Ihre personenbezogenen Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Werden personenbezogene Daten verarbeitet, um Direktwerbung zu betreiben, so haben Sie das Recht, jederzeit Widerspruch gegen die Verarbeitung sie betreffender personenbezogener Daten zum Zwecke derartiger Werbung einzulegen; dies gilt auch für das Profiling, soweit es mit solcher Direktwerbung in Verbindung steht. Widersprechen Sie der Verarbeitung für Zwecke der Direktwerbung, so werden die personenbezogenen Daten nicht mehr für diese Zwecke verarbeitet.

10. Datensicherheit

Wir treffen angemessene technische und organisatorische Sicherheitsmaßnahmen (TOMs) gemäß Art. 32 DSGVO, um Ihre Daten gegen zufällige oder vorsätzliche Manipulationen, teilweisen oder vollständigen Verlust, Zerstörung oder gegen den unbefugten Zugriff Dritter zu schützen. Unsere Sicherheitsmaßnahmen werden entsprechend der technologischen Entwicklung fortlaufend verbessert.

10.1. Fehlerüberwachung mit Sentry

In unseren Apps ("Tafel.app" und "Tafel Scanner") und im Backend-System verwenden wir Sentry zur Überwachung der technischen Stabilität und zur Erkennung und Behebung von Fehlern (Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO - berechtigtes Interesse an der Gewährleistung der technischen Stabilität und Sicherheit). Wir betreiben Sentry auf unseren eigenen Servern bei Hetzner in Falkenstein, Deutschland. Es findet keine Übermittlung der Daten an Dritte oder ins Ausland statt.

Wenn ein Fehler auftritt, werden folgende Informationen an unsere Sentry-Instanz übermittelt:

  • Technische Informationen wie Gerätetyp, Betriebssystemversion und App-Version
  • Zeitpunkt des Fehlers
  • Informationen über den aufgetretenen Fehler (Stack Trace)
  • Anonymisierte IP-Adresse
  • Informationen über die betroffene Komponente oder Seite
  • Technischer Kontext zum Zeitpunkt des Fehlers (z.B. Speicherauslastung, Netzwerkstatus)
  • Eindeutige, anonyme Sitzungs-ID
  • Geräte-spezifische Informationen (Bildschirmauflösung, Browser-Version etc.)

Diese Daten werden ausschließlich zur Fehlerbehebung verwendet und nach spätestens 90 Tagen automatisch gelöscht.

Dazu gehören unter anderem:

  • Verschlüsselung der Datenübertragung (SSL/TLS) für unsere Weboberflächen und API-Schnittstellen.
  • Zugriffskontrollen und Berechtigungskonzepte (Rollenbasiertes System in Filament).
  • Regelmäßige Sicherung der Daten (Backup-Strategie).
  • Verwendung von Firewalls und Systemen zur Angriffserkennung.
  • Schulung unserer Mitarbeiter im Hinblick auf Datenschutz und Datensicherheit.
  • Sichere Speicherung von Passwörtern (Hashing gemäß Laravel Standards).
  • Schutz der permanenten API-Token für Systeminteraktionen (z.B. "Tafel Scanner") durch Speicherung in sicheren Konfigurationsdateien und Zugriffsbeschränkung.
  • Regelmäßige Sicherheitsupdates unserer Systeme und Softwarekomponenten.

11. Aktualität und Änderung dieser Datenschutzerklärung

Wir behalten uns vor, diese Datenschutzerklärung anzupassen, damit sie stets den aktuellen rechtlichen Anforderungen entspricht oder um Änderungen unserer Leistungen in der Datenschutzerklärung umzusetzen, z.B. bei der Einführung neuer Services. Für Ihren erneuten Besuch gilt dann die neue Datenschutzerklärung.

Es wird empfohlen, diese Datenschutzerklärung regelmäßig zu konsultieren.

Dieser Entwurf wurde KI-unterstützt auf Basis einer Codeanalyse generiert und dient als Grundlage. Er muss zwingend von einem Rechtsexperten überprüft, vervollständigt (insbesondere die Platzhalter in eckigen Klammern und die Cookie-Details/OnlyOffice-Integration) und an die spezifischen Gegebenheiten Ihrer Organisation angepasst werden. Es wird keine Haftung für die rechtliche Korrektheit oder Vollständigkeit übernommen.