Stand: 19. August 2025
Verantwortlicher (Art. 4 Nr. 7 DSGVO) Proforen UG (haftungsbeschränkt) Schlehenweg 20, 41564 Kaarst Vertreten durch: Tobias Roth Telefon: +49 (0) 172 9862427 E‑Mail: mail@proforen.de
Geltung Diese Erklärung beschreibt die Verarbeitung personenbezogener Daten bei Nutzung der Consumer‑App „*kaarst LOKAL“ sowie des Merchant‑Portals unter https://kaarst-lokal.de (nachfolgend „Plattform“). Hinweise zum Impressum/Anbieterkennzeichnung finden Sie unter https://kaarst-lokal.de/impressum.
Eine/n Datenschutzbeauftragte:n haben wir derzeit nicht bestellt (keine gesetzliche Pflicht). Für Datenschutzanfragen kontaktieren Sie uns bitte unter mail@kaarst-lokal.de oder postalisch an die oben genannte Anschrift (Stichwort: „Datenschutz“).
Zweck: Erstellung/Nutzung von Konten, Darstellung von Händler‑Profilen, Gutscheinen, Cashback, Chat, Events, Speisekarten, Allergen‑Filter, Premium, Sicherheit & Betrugsprävention.
Datenkategorien: Stammdaten (Name, E‑Mail, optional Profilangaben), Login‑/Geräte‑Daten, Nutzungs‑/Protokolldaten (Zeitstempel, IP, App‑Version, Geräte‑ID), Inhaltsdaten (Chat‑Nachrichten, Bewertungen, hochgeladene Medien), Transaktionsdaten (Belege/Kaufnachweise, Cashback‑Buchungen, Gutschein‑Einlösungen), Händler‑Inhalte.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertragserfüllung/Nutzerkonto), Art. 6 Abs. 1 lit. f DSGVO (Betrieb, Missbrauchs‑/Betrugsprävention, IT‑Sicherheit), Art. 6 Abs. 1 lit. c DSGVO (gesetzliche Pflichten; z. B. steuer‑/handelsrechtliche Aufbewahrung bei entgeltlichen Leistungen).
Zweck: Abschluss und Verwaltung des Premium‑Abos (Werbe‑Ausblendung, rückwirkender Cashback‑Vorteil, Premium‑exklusive Angebote), Abrechnung, Zahlungsdurchführung.
Datenkategorien: Zahlungs‑/Abrechnungsdaten (Kaufzeitpunkt, Produkt, Preis, Transaktions‑ID, Status), Kundenkennungen aus App‑Stores.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Vertrag), Art. 6 Abs. 1 lit. c DSGVO (Aufbewahrung), Art. 6 Abs. 1 lit. f DSGVO (Betrugsprävention).
Drittanbieter: Zahlungsdienst/App‑Store: folgt (wird nachgetragen, sobald final festgelegt).
Zweck: Direkte Kommunikation, Support, Rückfragen zu Angeboten, Nachweisführung bei Cashback.
Datenkategorien: Nachrichtentexte/Anhänge, Zeitstempel, beteiligte Profile.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (Nutzung der Funktion), Art. 6 Abs. 1 lit. f DSGVO (Moderation, Missbrauchs‑/Rechtsverletzungsprävention).
Hinweis: Merchants sind für ihre eigene Verarbeitung eigenständige Verantwortliche.
Zweck: Ausspielen von Werbung/gesponserten Inhalten – auch in der Suche und ggf. unabhängig von inhaltlicher Relevanz; Reichweitenmessung; ggf. Frequenzkappung.
Datenkategorien: Geräte‑/Nutzungsdaten (App‑Version, Geräte‑ID, grobe Standortregion, Sprache), Kontextdaten (Seitenbereich/Position, Suchanfrage).
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO (betriebliches Interesse an Finanzierung/Refinanzierung der Plattform). Für personalisierte Werbung/Tracking erfolgt Verarbeitung nur mit Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Premium: Aktive Premium‑Mitgliedschaft blendet Werbung in der App aus (siehe AGB).
Zweck: Anzeige/Filterung von Allergen‑Angaben der Merchants.
Datenkategorien: Allergen‑Informationen stammen vom Merchant. Optionale Nutzer‑Präferenzen (z. B. „kein Gluten/kein Nuss“) können lokal im Gerät oder in Ihrem Konto gespeichert werden.
Rechtsgrundlage: Bei rein gerätelokaler Filterung keine personenbezogene Verarbeitung. Bei Speicherung als Profil‑Präferenz (gesundheitsbezogen) nur mit Einwilligung (Art. 9 Abs. 2 lit. a DSGVO), jederzeit widerruflich in den Einstellungen.
Derzeit setzen wir keine Analyse‑/Tracking‑ oder Crash‑Dienste ein. Es werden lediglich technisch notwendige Server‑Logs nach Ziff. 2.8 verarbeitet.
Rechtsgrundlage: entfällt (keine Analyse/Tracking).
Zweck: Hinweis auf neue Gutscheine/Events/Chat‑Nachrichten, Kontohinweise.
Rechtsgrundlage: Art. 6 Abs. 1 lit. b DSGVO (vertragsbezogene Nachrichten) und Art. 6 Abs. 1 lit. a DSGVO (Marketing‑Push nur mit Einwilligung).
Drittanbieter: expo‑notifications (Expo Push Notification Service). Der Dienst verarbeitet Push‑Tokens und Metadaten zur Zustellung; außerdem können für die Zustellung APNs (Apple) und FCM (Google) eingebunden sein. Eine Übermittlung in Drittländer (z. B. USA) ist dabei möglich. Details siehe Ziff. 5.
Zweck: Abwehr von Angriffen, Sicherstellung der Stabilität.
Datenkategorien: IP‑Adresse, Zugriffszeitpunkt, Request‑Zeile, Statuscode, User‑Agent.
Rechtsgrundlage: Art. 6 Abs. 1 lit. f DSGVO.
Speicherdauer: In der Regel 7–30 Tage, außer bei sicherheitsrelevanten Vorfällen.
Wir verarbeiten Daten, die Sie uns bereitstellen (Registrierung, Chat, Kaufnachweise), sowie Daten, die bei der Nutzung automatisch anfallen (Log‑/Geräte‑/Nutzungsdaten). Daten von Dritten erhalten wir z. B. von Merchants (Transaktionsbestätigungen) oder Zahlungsdiensten/App‑Stores (Abrechnungsstatus).
Wir setzen Auftragsverarbeiter (Art. 28 DSGVO) ein. Datenempfänger können sein: - Hosting/Cloud/CDN: Eigene, redundant betriebene Server im Rechenzentrum (Angabe folgt). - Zahlungsdienste/App‑Stores: (folgt, sobald final gewählt). - Push‑Dienst: expo‑notifications (inkl. notwendiger Infrastrukturen wie APNs/FCM). - E‑Mail/Support: mailcow (eigener Server) als SMTP‑Infrastruktur. - Werbevermarktung: keine externen Ad‑Netzwerke; nur eigene Werbung innerhalb der Plattform.
Mit Auftragsverarbeitern schließen wir Verträge nach Art. 28 DSGVO. Merchants sind eigene Verantwortliche für ihre Inhalte/Chats/Angebote.
Bei Nutzung des Expo Push Notification Service (expo‑notifications) kann eine Datenübermittlung an Empfänger außerhalb der EU/des EWR (z. B. USA) stattfinden. Soweit erforderlich, stützen wir solche Übermittlungen auf geeignete Garantien gem. Art. 46 DSGVO (insb. EU‑Standardvertragsklauseln) und treffen zusätzliche Schutzmaßnahmen. Details geben wir auf Anfrage bekannt und ergänzen diese Erklärung, sobald die konkreten Rechenzentrums‑/Anbieterangaben vorliegen.
Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist: - Konto‑/Stammdaten, Chat‑Nachrichten, Cashback‑/Gutscheinhistorie: bis zur beantragten Löschung Ihres Kontos/der Inhalte; gesetzliche Aufbewahrungspflichten bleiben unberührt. - Transaktions-/Abrechnungsdaten (Premium): 6 bzw. 10 Jahre nach AO/HGB. - Server‑Logs: s. 2.8 (in der Regel 7–30 Tage, außer bei sicherheitsrelevanten Vorfällen).
Die für Registrierung, Premium‑Abo, Cashback‑Verarbeitung oder Chat erforderlichen Angaben sind als solche gekennzeichnet. Ohne diese Daten ist eine Nutzung der jeweiligen Funktion nicht möglich.
Sie haben nach Art. 15–22 DSGVO das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit sowie Widerspruch (Art. 21 DSGVO) gegen Verarbeitungen auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Einwilligungen können Sie jederzeit mit Wirkung für die Zukunft widerrufen. Anfragen bitte an mail@kaarst-lokal.de oder in der App unter Einstellungen → Rechtliches → Datenschutz.
Sie haben zudem das Recht, sich bei einer Datenschutz‑Aufsichtsbehörde zu beschweren. Für NRW zuständig ist z. B. die/der Landesbeauftragte für Datenschutz und Informationsfreiheit (LDI NRW).
App: Wir verwenden nur technisch erforderliche SDKs. Keine Analyse‑/Marketing‑SDKs im Einsatz.
Website (Merchant‑Portal): Es werden ausschließlich essentielle Cookies/ähnliche Technologien eingesetzt, die für Betrieb/Log‑in erforderlich sind. Ein Consent‑Banner ist derzeit nicht erforderlich. Sollte künftig eine nicht‑essentielle Technologie eingesetzt werden, holen wir zuvor eine Einwilligung ein und stellen Opt‑Out‑Möglichkeiten bereit.
Consent‑Tool: Eigenes (sofern künftig benötigt).
Sofern Sie diese Berechtigungen in der App erlauben (z. B. Kamera für Beleg‑Upload), werden die Daten ausschließlich zum angegebenen Zweck verwendet. Rechtsgrundlage ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO), widerruflich in den Geräte‑/App‑Einstellungen.
Die Nutzung richtet sich an Personen ab 16 Jahren.
Wir treffen angemessene technische und organisatorische Maßnahmen (TOM) nach Art. 32 DSGVO (u. a. Verschlüsselung in Transit/at Rest, Zugriffskontrollen, Backups, Berechtigungskonzepte). Details stellen wir auf Anfrage bereit.
Wir können diese Datenschutzerklärung anpassen. Die jeweils aktuelle Fassung ist in der App unter Einstellungen → Rechtliches → Datenschutz sowie unter https://kaarst-lokal.de/datenschutz abrufbar.
Hosting/Cloud/CDN: Eigene, redundant betriebene Server im Rechenzentrum (Angabe folgt); Betrieb durch Proforen UG.
Zahlung/App‑Store: (folgt).
Analytics/Crash: keine im Einsatz.
Push‑Dienst: expo‑notifications (mögliche Einbindung von APNs/FCM).
E‑Mail/Support: mailcow auf eigenem Server.
Werbevermarktung/Ad‑Server: keine externen Netzwerke; nur Eigenwerbung.
Consent‑Management: Eigenes, aktuell nicht erforderlich.
Aufbewahrungsfristen: Bis zur beantragten Löschung; Transaktions-/Abrechnungsdaten 6/10 Jahre; Server‑Logs 7–30 Tage.