Datenschutzerklärung
Diese Erklärung beschreibt, welche personenbezogenen Daten Miles-Club verarbeitet, zu welchem Zweck und auf welcher Rechtsgrundlage.
1. Verantwortlicher
Verantwortlich im Sinne der DSGVO ist: IvaltiCare GmbH, Adolf-Kaschny-Straße 1–5, 51373 Leverkusen, info@ivalticare.com. Vollständige Angaben siehe Impressum.
2. Welche Daten wir verarbeiten
- Bewerbung um Aufnahme (Invitation-only): Sendest du das Aufnahme-Formular (/bewerbung) ab, verarbeiten wir die von dir angegebenen Daten (Name, ggf. Altersband, Familienstand, Netto-Einkommensband, E-Mail, Telefonnummer, bevorzugtes Kontaktzeitfenster, Tagespräferenz) sowie Zeitpunkt und Wortlaut deiner Einwilligung. Zweck: Prüfung deiner Bewerbung und Kontaktaufnahme zur Aufnahme. Rechtsgrundlage: deine Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und die Durchführung vorvertraglicher Maßnahmen auf deine Anfrage (Art. 6 Abs. 1 lit. b DSGVO). Die telefonische und E-Mail-Kontaktaufnahme erfolgt ausschließlich auf Grundlage deiner ausdrücklichen Einwilligung (§ 7 UWG), die du jederzeit mit Wirkung für die Zukunft widerrufen kannst (info@ivalticare.com). Die Angabe von Alter, Familienstand und Einkommensband ist freiwillig. Speicherdauer: Bewerbungsdaten werden gelöscht, sobald über die Aufnahme entschieden ist, spätestens jedoch 6 Monate nach Eingang; bei Aufnahme werden sie in die Mitgliederverwaltung überführt.
- Konto-Daten: Wenn du ein Konto anlegst, speichern wir deinen Benutzernamen, einen Anzeigenamen und – optional – deine E-Mail-Adresse. Dein Passwort wird niemals im Klartext gespeichert, sondern ausschließlich als kryptografischer Hash (PBKDF2/SHA-256 mit Salt). Bei der Registrierung speichern wir den Zeitpunkt deiner Zustimmung zu AGB und Datenschutzerklärung.
- Mitgliedschaft & Zahlung: Zu deiner Mitgliedschaft speichern wir Plan, Status und Laufzeit. Die Zahlungsabwicklung übernimmt der Dienstleister Stripe (siehe Abschnitt 5). Wir speichern dazu technische Referenz-Kennungen (Stripe-Kunden- und Abo-Id); deine vollständigen Zahlungsdaten (z. B. Kartennummer) verarbeiten wir nicht und sehen wir nicht.
- Punkte-Wallet & Lernfortschritt: Von dir manuell eingetragene Programm-Salden sowie der Fortschritt in der Wissensakademie (abgeschlossene Lektionen) werden mit deinem Benutzernamen gespeichert, damit du sie wiederfindest.
- Finanzprofil (Meilensammelplan): Trägst du im Bereich „Mein Wallet → Sammelplan" freiwillig Finanz-Richtwerte ein (Netto-Eingang, laufende Kosten wie Miete, Versicherungen, Abos), speichern wir diese ausschließlich verschlüsselt (ASP.NET Core DataProtection), um daraus deinen persönlichen Meilensammelplan zu berechnen. Im Datenexport weisen wir aus Schutzgründen nur Existenz und Stand des Profils aus – die einzelnen Beträge siehst und bearbeitest du jederzeit selbst im Sammelplan (Self-Service deckt das Auskunftsrecht ab). Beim Löschen deines Kontos wird das Finanzprofil mitgelöscht.
- Community-Beiträge, Antworten & Votes: Von dir eingereichte Deals/Tipps, Antworten sowie deine Stimmen werden mit deinem Benutzernamen gespeichert, um Mehrfach-Votes zu verhindern und Beiträge zuzuordnen.
- Bild-Uploads (Community): Lädst du zu einem Beitrag oder einer Antwort ein Bild hoch, wird die Bilddatei auf unserem Server gespeichert (zufälliger Dateiname, kein Bezug zum ursprünglichen Dateinamen) und im Community-Bereich für angemeldete Mitglieder angezeigt. Beim Löschen deines Kontos werden die von dir hochgeladenen Bilddateien mitgelöscht.
- Anmeldung (Cookie) & Verschlüsselung: Nach dem Login setzen wir ein technisch notwendiges
Authentifizierungs-Cookie (Name
meilen_auth), damit du angemeldet bleibst. Es enthält keine Werbe-Kennungen. Zur Absicherung dieses Cookies und gespeicherter Token setzen wir die Verschlüsselungs-Funktion ASP.NET Core DataProtection ein. - seats.aero Pro-API-Key (optional, „Bring Your Own"): Hinterlegst du freiwillig deinen eigenen seats.aero Pro-API-Key, speichern wir ihn verschlüsselt (nie dein dortiges Passwort), um damit aktuelle Verfügbarkeiten über dein eigenes Suchkontingent abzurufen. Der Schlüssel wird ausschließlich für deine eigenen Suchen verwendet. seats.aero ist ein Dienst aus den USA (Drittland, siehe Abschnitt 5). Du kannst den Schlüssel jederzeit im Konto entfernen; er wird dann gelöscht.
- Sicherheit / Rate-Limiting: Zum Schutz vor Missbrauch und massenhaftem Abgriff begrenzen wir die Zugriffsrate pro IP-Adresse. Dabei wird die IP-Adresse kurzzeitig verarbeitet.
- E-Mail-Versand: Hast du eine E-Mail-Adresse hinterlegt, versenden wir bei Bedarf E-Mails (insbesondere zum Passwort-Reset) über einen E-Mail-Server (SMTP). Jede ausgehende E-Mail wird zur Nachvollziehbarkeit in einem internen Postausgang protokolliert.
- Server-Protokolle: Beim Aufruf können technische Daten (z. B. Zeitpunkt, abgerufene Seite, Statuscode) in Protokollen anfallen, wie bei jedem Webserver üblich.
3. Was wir NICHT tun
Wir verwenden kein Werbe-Tracking, keine Drittanbieter-Analyse (kein Google Analytics o. Ä.) und erstellen keine Profile für Werbezwecke. Persönliche, login-geschützte Daten Dritter (z. B. deine persönlichen Amex Offers oder Payback-Coupons) werden von uns nicht abgerufen – solche Angaben bringst du selbst ein („Bring Your Own").
4. Zwecke und Rechtsgrundlagen
- Bereitstellung des Dienstes, Konto-, Mitgliedschafts- und Zahlungsverwaltung, Community-Funktionen: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO).
- Technisch notwendige Cookies, Verschlüsselung, Sicherheit/Rate-Limiting und Protokollierung: berechtigtes Interesse an einem sicheren, funktionsfähigen Betrieb (Art. 6 Abs. 1 lit. f DSGVO).
- Optionaler seats.aero Pro-API-Key: deine Einwilligung durch das freiwillige Hinterlegen des Schlüssels (Art. 6 Abs. 1 lit. a DSGVO), jederzeit widerrufbar durch Entfernen im Konto.
5. Empfänger, Auftragsverarbeiter & Drittlandübermittlung
- Hosting: Die Anwendung wird bei einem Hosting-Dienstleister betrieben; der konkrete Anbieter wird vor dem Go-Live an dieser Stelle benannt. Mit dem Auftragsverarbeiter besteht ein Vertrag zur Auftragsverarbeitung nach Art. 28 DSGVO.
- Stripe (Zahlungsabwicklung): Zur Abwicklung von Zahlungen nutzen wir Stripe. Dabei können Daten an Stripe, Inc. in die USA übermittelt werden (Drittland). Die Übermittlung wird auf geeignete Garantien gestützt (z. B. EU-Standardvertragsklauseln / Angemessenheitsbeschluss EU–US Data Privacy Framework, soweit anwendbar).
- seats.aero (optional): Nur wenn du die Verbindung selbst herstellst, werden Abfragen an seats.aero (USA, Drittland) gerichtet; es gelten dieselben Hinweise zu geeigneten Garantien.
- E-Mail-Versand: Sofern ein externer SMTP-Dienstleister eingesetzt wird, verarbeitet dieser die Empfänger-E-Mail-Adresse und den Mail-Inhalt im Auftrag.
Eine Weitergabe deiner Daten zu Werbezwecken erfolgt nicht.
6. Speicherdauer
Konto-, Mitgliedschafts- und Beitragsdaten werden gespeichert, solange dein Konto besteht. Wallet und Lernfortschritt bewahren wir nach einer Kündigung bis zu 12 Monate auf, falls du zurückkommst – auf Wunsch löschen wir sofort alles. Hinterlegst du deinen seats.aero Pro-API-Key, speichern wir ihn, bis du ihn im Konto entfernst. Protokoll- und IP-Daten werden nur kurzfristig zur Sicherheit vorgehalten.
7. Deine Rechte & Selbstbedienung
Du hast das Recht auf Auskunft (Art. 15), Berichtigung (Art. 16), Löschung (Art. 17), Einschränkung (Art. 18), Datenübertragbarkeit (Art. 20) und Widerspruch (Art. 21 DSGVO).
Zwei dieser Rechte kannst du im Bereich „Mein Konto" selbst und sofort ausüben:
- Datenexport (Art. 20): Über „Meine Daten exportieren" erhältst du eine JSON-Datei mit allen zu deinem Konto gespeicherten personenbezogenen Daten.
- Konto-Löschung (Art. 17): Über „Konto löschen" (mit Passwort-Bestätigung) löschst du dein Konto samt zugehöriger personenbezogener Daten und hochgeladener Bilddateien; Community-Beiträge bleiben anonymisiert erhalten.
Löschung bei laufendem Vertrag: Besteht zum Zeitpunkt deines Löschwunsches noch eine bezahlte Mitgliedschaftslaufzeit, deaktivieren wir dein Konto sofort und löschen die personenbezogenen Daten endgültig zum Ende der Laufzeit; eine Verlängerung findet nicht mehr statt (Kündigung). Rechtsgrundlage der befristeten Aufbewahrung bis Vertragsende ist Art. 6 Abs. 1 lit. b DSGVO (Erfüllung des Vertrags) sowie – für Rechnungs-/Zahlungsdaten – gesetzliche Aufbewahrungspflichten (§ 257 HGB, § 147 AO). Dein Recht auf sofortige Löschung nach Art. 17 DSGVO bleibt unberührt: über die Option „Jetzt sofort löschen" wird dein Konto umgehend und unwiderruflich gelöscht (die Restlaufzeit verfällt dabei ohne Erstattung; ein etwaiges gesetzliches Widerrufsrecht bleibt hiervon unberührt – siehe Widerrufsbelehrung). Gesetzlich aufbewahrungspflichtige Rechnungs- und Zahlungsdaten (§ 257 HGB, § 147 AO) bewahren wir auch im Fall der sofortigen Löschung bis zum Ablauf der gesetzlichen Fristen (bis zu 10 Jahre) auf; sie werden gesperrt und ausschließlich für diese Zwecke vorgehalten. Die Deaktivierung kannst du bis zur endgültigen Löschung jederzeit selbst rückgängig machen.
Für die übrigen Rechte wende dich an die im Impressum genannte Kontaktadresse. Außerdem besteht ein Beschwerderecht bei einer Datenschutz-Aufsichtsbehörde.
8. Externe Links & Quellen
Diese Seite verlinkt auf offizielle Quellen und Programmseiten Dritter. Für deren Datenverarbeitung gelten die jeweiligen Datenschutzbestimmungen der Anbieter.
9. Vertragliche Grundlagen
Die vertraglichen Bedingungen der Mitgliedschaft regeln unsere AGB; deine Verbraucherrechte beim Widerruf findest du in der Widerrufsbelehrung.
Impressum · AGB · Widerruf · Zur Startseite