Datenschutzerklärung

Verantwortlicher

Der Verantwortliche ist am Ende dieser Seite angegeben, zusammen mit den Kontaktdaten für jede datenschutzrechtliche Anfrage. Sie können sich an den Verantwortlichen wenden, um Ihre Rechte auszuüben oder Fragen zu dieser Erklärung zu klären.

Kategorien verarbeiteter Daten

Wir verarbeiten: Kontodaten (E-Mail, Benutzername, Name, Avatar, Sprache); Spieldaten (getätigte Funde, Abschlüsse, Verifizierungsmethode); Standortdaten (Breitengrad, Längengrad und GPS-Genauigkeit, erfasst bei einer aktivierten Station); das bei jeder Station aufgenommene Selfie, gespeichert in einem privaten Speicher; Zahlungsdaten (Beträge, Status, Stripe-Kennungen — Kartendaten werden von uns nicht gespeichert); Nachweise der erteilten Einwilligungen; sowie Sicherheitsprotokolle (Benutzerkennung, Ereignis, IP-Adresse, technische Details).

Zwecke der Verarbeitung

Wir verarbeiten Ihre Daten, um: Ihr Konto zu erstellen und zu verwalten; die Schatzsuche bereitzustellen und die Stationen zu überprüfen (NFC, GPS und Selfie); Zahlungen und die damit verbundenen steuerlichen Pflichten abzuwickeln; den Nachweis der erteilten Einwilligungen aufzubewahren; sowie die Sicherheit des Dienstes zu gewährleisten und Betrug und Missbrauch vorzubeugen.

Beim Start führen wir kein Profiling zu Marketingzwecken durch. Sollten wir künftig weitere Zwecke einführen, werden wir Sie vorab informieren.

Rechtsgrundlagen

Konto-, Selfie-, Standort- und Zahlungsdaten werden zur Erfüllung des Teilnahmevertrags verarbeitet (Art. 6 Abs. 1 lit. b DSGVO). Zahlungen werden zudem zur Erfüllung gesetzlicher steuer- und buchhaltungsrechtlicher Pflichten verarbeitet (Art. 6 Abs. 1 lit. c DSGVO).

Die Sicherheit des Dienstes, Audits und die Betrugsprävention stützen sich auf unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DSGVO): Das verfolgte Interesse ist der Schutz der Plattform und ihrer Nutzer vor unbefugtem Zugriff, Manipulation und betrügerischem Verhalten. Die Aufbewahrung des Einwilligungsnachweises folgt dem Grundsatz der Rechenschaftspflicht (Art. 5 Abs. 2 und Art. 7 Abs. 1 DSGVO).

Speicherdauer

Zahlungsdaten werden 10 Jahre ab der letzten Eintragung aufbewahrt, aufgrund zivil- und steuerrechtlicher Pflichten (Art. 2220 des italienischen Zivilgesetzbuchs). Selfies werden für die Dauer der Jagd und für ein Fenster von etwa 90 Tagen zur Bearbeitung etwaiger Beanstandungen aufbewahrt. Spiel- und Standortdaten (Funde) werden etwa 12 Monate zur Bearbeitung von Beanstandungen aufbewahrt. Audit- und Sicherheitsprotokolle werden etwa 6 Monate aufbewahrt (verlängerbar bei begründeten Betrugspräventionsbedürfnissen).

Im Falle eines Antrags auf Löschung des Kontos werden die Daten ohne unangemessene Verzögerung gelöscht, in der Regel innerhalb von etwa 30 Tagen, vorbehaltlich gesetzlicher Pflichten und der zur Rechtsverteidigung erforderlichen Fristen. Für Daten ohne feste Frist geben wir die Kriterien zur Festlegung der Speicherdauer an.

Empfänger und Auftragsverarbeiter

Ihre Daten werden von Anbietern verarbeitet, die als Auftragsverarbeiter auf Grundlage von Verträgen gemäß Art. 28 DSGVO handeln: Supabase (Datenbank und Speicher), Stripe (Zahlungen) und Vercel (Hosting). Daten können außerdem an Steuer- oder Justizbehörden weitergegeben werden, sofern dies gesetzlich vorgeschrieben ist. Wir verkaufen Ihre Daten nicht an Dritte.

Übermittlungen außerhalb der EU

Einige Anbieter (Supabase, Stripe, Vercel) können Daten in den Vereinigten Staaten verarbeiten. Solche Übermittlungen erfolgen mit angemessenen Garantien, etwa der Zertifizierung nach dem EU-US-Datenschutzrahmen (Data Privacy Framework) und/oder den Standardvertragsklauseln der Europäischen Kommission (EU-Beschl. 2021/914). Sie können eine Kopie anfordern, indem Sie sich an den Verantwortlichen wenden.

Ihre Rechte

Sie haben das Recht auf Auskunft über Ihre Daten sowie auf Berichtigung, Löschung und Einschränkung der Verarbeitung, ferner das Recht auf Datenübertragbarkeit und das Widerspruchsrecht, im Rahmen der DSGVO. Soweit die Verarbeitung auf einer Einwilligung beruht, können Sie diese jederzeit widerrufen (Art. 7 Abs. 3 DSGVO), ohne dass die Rechtmäßigkeit der bis zum Widerruf erfolgten Verarbeitung berührt wird. Zur Ausübung Ihrer Rechte können Sie den Verantwortlichen über die unten genannten Kontaktdaten erreichen.

Beschwerde bei der Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer Daten gegen das Recht verstößt, haben Sie das Recht, Beschwerde bei der Aufsichtsbehörde einzulegen. In Italien ist die zuständige Behörde der Garante per la protezione dei dati personali, Piazza Venezia 11, 00187 Rom; E-Mail protocollo@gpdp.it; zertifizierte E-Mail protocollo@pec.gpdp.it; Website www.garanteprivacy.it.

Art der Bereitstellung

Die Bereitstellung der Konto-, Selfie-, Standort- und Zahlungsdaten ist für die Teilnahme an den Schatzsuchen erforderlich: Eine Verweigerung macht die Erbringung des Dienstes unmöglich. Die übrigen Daten sind freiwillig, und ihre Verweigerung beeinträchtigt die Teilnahme nicht.

Automatisierte Entscheidungen

Wir treffen keine ausschließlich auf automatisierter Verarbeitung beruhenden Entscheidungen, die Ihnen gegenüber rechtliche oder ähnlich erhebliche Wirkung entfalten, im Sinne von Art. 22 DSGVO: Die Bekanntgabe des Gewinners unterliegt stets einer menschlichen Prüfung des Selfies und der Abschlussnachweise. Wir setzen automatische Betrugskontrollen (z. B. Konsistenz von GPS und Zeiten) als Unterstützung ein, die endgültige Entscheidung bleibt jedoch menschlich.

Teilweise öffentliches Profil

Einige Daten Ihres Profils können für andere Teilnehmer sichtbar sein, etwa Benutzername und Avatar, insbesondere in Ranglisten und Spielseiten. E-Mail, echter Name und Kontaktdaten werden nicht veröffentlicht.

Verarbeitung des Selfies

Das Selfie ist eine fotografische Aufnahme des Gesichts, die ausschließlich von einer menschlichen Person für den allein zur Validierung der Funde und des Gewinners notwendigen visuellen Vergleich geprüft wird. Es findet keinerlei automatische Gesichtserkennung, keine Extraktion biometrischer Vorlagen und keine Lebenderkennung (Liveness) statt.

Die Rechtsgrundlage für die Verarbeitung des Selfies ist die Erfüllung des Teilnahmevertrags (Art. 6 Abs. 1 lit. b DSGVO), da das Selfie zur Überprüfung des Gewinners — dem Kern der Leistung — erforderlich ist. Ein Foto des Gesichts, das allein der visuellen Prüfung durch eine Person unterzogen wird, stellt für sich genommen kein biometrisches Datum dar. Zum zusätzlichen Schutz holen wir, soweit erforderlich, gesondert eine spezifische ausdrückliche Einwilligung für diese Verarbeitung ein, die jederzeit widerrufen werden kann.

Datenschutzbeauftragter

Die Bestellung eines Datenschutzbeauftragten (DSB) nach Art. 37 DSGVO ist nicht verpflichtend. Für Datenschutzfragen können Sie uns dennoch unter der in unseren Kontaktdaten angegebenen eigens eingerichteten E-Mail-Adresse schreiben.

Kontakt

Für jede Anfrage zur Verarbeitung Ihrer personenbezogenen Daten oder zur Ausübung Ihrer Rechte können Sie den Verantwortlichen über die am Ende dieser Seite angegebenen Kontaktdaten erreichen.