Datenschutzerklaerung

1. Verantwortlicher

Vezpa di Paolo Vezzola
Sitz: Via San Zeno 67, 25015 Desenzano del Garda (BS), Italien
USt-IdNr.: 04449070988 · Steuernummer: VZZPLA84C10D284C
E-Mail: [email protected] · PEC: [email protected]

2. Anwendungsbereich

Diese Information gilt fuer die Vezpa App, vertrieben ueber:

Apple App Store (iOS, macOS) — Bundle ID: it.vezpa.pms
Google Play Store (Android) — Flavour googleplay
Microsoft Store (Windows) — MSIX
Direkter Sideload (APK Android, signierter Windows-Installer) fuer Verteilung direkt durch den Verantwortlichen

Die Nutzung der App erfordert die Erstellung eines Kontos, das der Beherbergungsunterkunft zugeordnet ist. Die App ist bestimmt fuer volljaehrige professionelle Nutzer ueber 18 Jahre (Betreiber von Beherbergungsunterkuenften und deren autorisiertes Personal).

3. Von der App erhobene Daten

3.1 Nutzerdaten (Betreiber und Personal)

Personendaten: Name, Vorname, E-Mail, Telefonnummer
Daten der Beherbergungsunterkunft
Zugangsdaten (Passwort auf Backend-Seite gehasht, nie im Klartext uebertragen)
Konto-Identifikatoren (User ID)
Zugewiesene Rolle (Direktor, Assistent, Hauswirtschaft, Beobachter)

3.2 Gastdaten (Vezpa agiert als Auftragsverarbeiter)

Wichtig: Die Gastdaten liegen in der Verantwortung der Unterkunft. Vezpa agiert als Auftragsverarbeiter gemaess Art. 28 DSGVO, geregelt durch den AVV.

Personen- und Kontaktdaten
Ausweisdokumente gescannt oder ueber die Kamera des Geraetes fotografiert, mit OCR-Extraktion der Textdaten zur Erleichterung der Registrierung
Aufenthalts- und Buchungsdaten

3.3 Technische und Nutzungsdaten

Geraete-Identifikatoren: Modell, Betriebssystem, App-Version
Push-Notification-Token (FCM): eindeutiger Identifikator verwaltet von Google Firebase fuer den Versand von Benachrichtigungen
SHA-256-Hash des vertrauenswuerdigen Geraetes: lokal generiert zur Ermoeglichung spaeteren biometrischen Zugangs, Ablauf 90 Tage nach letzter Verwendung
Anwendungs- und Diagnoseprotokolle: im Batch an das Backend uebertragen ueber RemoteLogger zu Stabilitaets- und Sicherheitszwecken; enthalten keine sensiblen persoenlichen Inhalte
IP-Adresse: vom Backend zu Sicherheitszwecken erhoben

4. Von der App angeforderte Berechtigungen

Berechtigung	Zweck	Pflicht
Kamera	Erfassung von Bildern der Ausweisdokumente der Gaeste fuer OCR und fuer den Versand an die Behoerden	Optional (Alternative: manuelle Eingabe)
Push-Benachrichtigungen	Empfang von Benachrichtigungen ueber neue Buchungen, Check-ins, Gastanfragen	Optional (die App funktioniert auch ohne)
Biometrische Authentifizierung (Face ID / Touch ID / Fingerabdruck / Windows Hello)	Schneller Login nach erster Authentifizierung mit Passwort. Die biometrischen Daten verlassen nie das Geraet und werden nicht an Vezpa uebermittelt.	Optional
Speicher / Dateien	Lokale Speicherung von von der App generierten PDF-Berichten, Rechnungen, Gaestemeldungen	Optional
Internet	Kommunikation mit den Vezpa-Servern	Erforderlich
REQUEST_INSTALL_PACKAGES (nur Android Sideload)	Automatische Installation von Updates ueber APK, die von den Vezpa-Servern heruntergeladen werden. Nicht vorhanden in der Google Play-Version.	Nur fuer das Sideload-Flavour erforderlich

5. In die App integrierte SDKs und Dienste

SDK / Dienst	Anbieter	Zweck	Verarbeitete Daten
Firebase Cloud Messaging (FCM)	Google LLC / Google Ireland Ltd	Versand von Push-Benachrichtigungen	Geraete-Token, technische Identifikatoren
StoreKit / Google Play Billing / Microsoft Store	Apple Inc. / Google LLC / Microsoft Corp.	Verwaltung von In-App-Kaeufen und Abonnements	Kauf-Token, Subscription-Status, Store-Konto-ID
Stripe SDK (nur Zahlungen Gaesteseite)	Stripe Payments Europe Ltd	Kartenzahlungsabwicklung	Kartendaten werden von Stripe verwaltet, nicht an Vezpa uebermittelt
local_auth (Biometrie)	Betriebssystem (Apple / Google / Microsoft)	Lokale biometrische Entsperrung	Keine biometrischen Daten an Vezpa uebermittelt
Flutter Secure Storage	Plattform (Keychain iOS/macOS, EncryptedSharedPreferences Android, DPAPI Windows)	Lokale Speicherung von JWT-Token und Zugangsdaten	Refresh-Token, verschluesselt vom Betriebssystem
share_plus	Open Source	Teilen von Dateien (PDF, Berichte) mit System-Apps	Vom Nutzer ausgewaehlte Dateien

Vezpa integriert keine Verhaltensanalyse-SDKs (z.B. AppsFlyer, Mixpanel, Facebook SDK), Werbe-SDKs oder Profilbildungs-SDKs. Kein App-uebergreifendes Tracking im Sinne der Apple App Tracking Transparency (ATT).

6. Zwecke der Verarbeitung

Bereitstellung der Funktionen der Vezpa App (Art. 6 Abs. 1 lit. b DSGVO)
Gesetzliche Verpflichtungen bezueglich der Gaesteregistrierung, von der Unterkunft delegiert (Art. 6 Abs. 1 lit. c)
Sicherheit, Betrugspraevention, Stabilitaet des Dienstes (Art. 6 Abs. 1 lit. f, berechtigtes Interesse)
Abonnement- und Zahlungsverwaltung (Art. 6 Abs. 1 lit. b und lit. c)

Die Daten werden nicht fuer Werbe-, Profilbildungs- oder Tracking-Zwecke verwendet.

7. Art der Verarbeitung und Sicherheit

Uebertragung ueber HTTPS/TLS 1.2+
Authentifizierung mit rotierendem JWT (Access 15 Min., Refresh 180 Tage mit Blacklist)
System Secure Storage (Keychain / EncryptedSharedPreferences / DPAPI)
Optionale 2FA TOTP
Backend-Server in der EU (Frankfurt) bei DigitalOcean
Anwendungsprotokolle werden ueberwacht, um anomale Zugriffe zu erkennen

8. Aufbewahrung und Loeschung

Die Nutzerdaten werden fuer die Vertragsdauer + steuerliche Verpflichtungen (10 Jahre fuer Rechnungsstellung) aufbewahrt.

Der Nutzer kann die Loeschung des Kontos ueber die entsprechende Funktion in der App oder durch Schreiben an den Verantwortlichen anfordern. Einige Daten koennten aus gesetzlichen Gruenden aufbewahrt werden (Rechnungsstellung, Sicherheitsprotokolle).

Die Gastdaten (fuer die Vezpa Auftragsverarbeiter ist) folgen den Weisungen des Verantwortlichen gemaess dem im AVV Geregelten.

9. Datenweitergabe

Die Daten werden weder verkauft noch verbreitet. Sie koennen an die unter vezpa.it/subprocessors aufgefuehrten Unterauftragsverarbeiter und, beschraenkt auf Buchungsdaten, an die von der Unterkunft aktivierten OTA-Kanaele weitergegeben werden.

Fuer die an oeffentliche Behoerden uebermittelten Daten (Questura, ISTAT, Feratel, SES, NTAK, eVisitor, SEF, UbyPort, eTurizem) wird auf die allgemeine Datenschutzerklaerung verwiesen.

10. Drittlandstransfers

Die Kommunikation mit den DPF-zertifizierten US-Anbietern (Google/Firebase, Stripe, Microsoft, DigitalOcean) erfolgt auf Grundlage des EU-U.S. Data Privacy Framework (Beschluss (EU) 2023/1795). Apple beteiligt sich nicht am DPF: das Vertragsverhaeltnis fuer EU-Nutzer besteht mit Apple Distribution International Ltd (Irland) und eventuelle Uebermittlungen an Apple Inc. (USA) werden durch SCC 2021/914 geregelt. Die Kommunikation mit STAAH (Channel Manager) erfolgt auf Grundlage des EU-Angemessenheitsbeschlusses fuer Neuseeland (2013/65/EU). Tuya (China, optional) wird durch SCC 2021/914 geregelt.

11. Rechte des Nutzers

Gemaess Art. 15-22 DSGVO kann der Nutzer Rechte auf Auskunft, Berichtigung, Loeschung, Einschraenkung, Datenuebertragbarkeit und Widerspruch ausueben. Anfragen koennen ueber die App oder per E-Mail an [email protected] eingereicht werden.

Beschwerden bei der Aufsichtsbehoerde: italienische Datenschutzbehoerde (Garante). Nutzer in Deutschland koennen sich auch an die Bundesbeauftragte fuer den Datenschutz und die Informationsfreiheit (BfDI) wenden: www.bfdi.bund.de.

12. Minderjaehrige

Die App ist ausschliesslich fuer volljaehrige Nutzer (professionelle Betreiber) bestimmt. Sie erhebt wissentlich keine Daten von Minderjaehrigen.

13. Aenderungen der Datenschutzerklaerung

Diese Information kann aktualisiert werden. Aenderungen werden auf dieser Seite veroeffentlicht und, wenn wesentlich, per E-Mail und Dashboard mit mindestens 15 Tagen Vorankuendigung mitgeteilt.