Datenschutzerklaerung

Diese Datenschutzerklaerung beschreibt, wie Redor AS (nachfolgend «wir», «uns» oder «Redor») Ihre personenbezogenen Daten erhebt, verwendet, speichert und schuetzt, wenn Sie Bungaflow nutzen. Die Erklaerung gilt fuer alle Nutzer des Dienstes, einschliesslich Gaeste, die das Gaeste-Portal nutzen.

Wir verarbeiten personenbezogene Daten gemaess der EU-Datenschutz-Grundverordnung (DSGVO) und dem norwegischen Datenschutzgesetz. Durch die Nutzung von Bungaflow stimmen Sie der Erhebung und Verwendung von Informationen gemaess dieser Datenschutzerklaerung zu.

Begriffe mit Grossbuchstaben haben die in unseren Allgemeinen Geschaeftsbedingungen definierte Bedeutung.

I. Definitionen

• «Verantwortlicher» — Redor AS, Org.-Nr. 916 505 310, der den Zweck und die Mittel der Verarbeitung personenbezogener Daten bestimmt.
• «Personenbezogene Daten» — Jede Information, die sich direkt oder indirekt auf eine identifizierte oder identifizierbare natuerliche Person bezieht, einschliesslich Name, E-Mail-Adresse, IP-Adresse, Geraetekennungen und Standortdaten.
• «Verarbeitung» — Jeder Vorgang, der mit personenbezogenen Daten durchgefuehrt wird, ob automatisiert oder nicht, wie Erhebung, Erfassung, Organisation, Speicherung, Anpassung, Weitergabe oder Loeschung.
• «Auftragsverarbeiter» — Ein Dritter, der personenbezogene Daten im Auftrag des Verantwortlichen verarbeitet. Dies umfasst unsere Dienstleister.
• «Betroffener»/ «Sie» — Die natuerliche Person, deren personenbezogene Daten verarbeitet werden, einschliesslich Nutzer des Dienstes und Gaeste.
• «Dienst» — Die Bungaflow-Plattform, einschliesslich Webanwendung, APIs, Gaeste-Portal und zugehoerige Dienste, verfuegbar unter bungaflow.com.
• «Nutzungsdaten» — Daten, die automatisch bei der Nutzung des Dienstes erhoben werden, wie IP-Adresse, Browsertyp, besuchte Seiten und Zeitpunkte.
• «Cookies» — Kleine Datendateien, die auf Ihrem Geraet gespeichert werden, um Sie wiederzuerkennen und Praeferenzen zu speichern.

II. Erhebung und Verwendung personenbezogener Daten

a. Personenbezogene Daten, die wir erheben

Bei der Nutzung von Bungaflow koennen wir Sie bitten, folgende personenbezogene Daten anzugeben:

• E-Mail-Adresse
• Vollstaendiger Name
• Einheiteninformationen (Adresse, Name und Typ der geteilten Immobilie)
• Nutzungsdaten

b. Nutzungsdaten

Nutzungsdaten werden automatisch bei der Nutzung des Dienstes erhoben. Dies kann IP-Adresse, Browsertyp und -version, besuchte Seiten, Besuchszeiten, auf Seiten verbrachte Zeit, eindeutige Geraetekennungen und andere Diagnosedaten umfassen.

c. Von Ihnen eingegebene Inhalte

Zusaetzlich zu personenbezogenen Daten verarbeiten wir Inhalte, die Sie aktiv in den Dienst eingeben:

• Buchungen und Kalenderdaten
• Ausgaben und Quittungen (einschliesslich Bilder)
• Wartungsprotokolle, FDV-Dokumente und Schadensberichte
• Aufgaben und Checklisten
• Gaestebucheintraege und Huettenbucheintraege
• Nachrichten zwischen Mitgliedern
• Hausregeln
• Inventar, Notvorraete und Versicherungsinformationen
• Kontaktverzeichnis (z.B. Klempner, Elektriker)
• Lokale Guide-Informationen (nahegelegene Orte und Dienste)
• Aktivitaetsprotokoll (in der Einheit durchgefuehrte Aktionen)
• Einheiteninformationen wie WiFi-Passwoerter (verschluesselt mit AES-256-GCM)

d. Push-Benachrichtigungen

Wenn Sie Push-Benachrichtigungen aktivieren, speichern wir technische Informationen (Endpoint, Schluessel), die fuer die Zustellung von Benachrichtigungen an Ihr Geraet erforderlich sind. Diese Informationen werden geloescht, wenn Sie Benachrichtigungen deaktivieren oder Ihr Konto loeschen.

e. Daten aus dem Gaeste-Portal

Gaeste, die das Gaeste-Portal ueber einen geteilten Link nutzen, muessen kein Konto erstellen. Wir erheben keine personenbezogenen Daten von Gaesten, es sei denn, sie geben aktiv Informationen ein, z.B. Gaestebucheintraege (Name und Nachricht). IP-Adressen koennen voruebergehend in Serverprotokollen zu Sicherheitszwecken erfasst werden.

III. Cookies und Tracking-Technologien

Wir verwenden Cookies und aehnliche Technologien, um den Dienst zu betreiben und zu verbessern. Die Einwilligung zu Cookies wird von Cookiebot (Usercentrics), unserer Einwilligungsloesung (CMP), verwaltet.

a. Notwendige Cookies

Diese sind fuer die Funktion des Dienstes erforderlich und benoetigen keine Einwilligung:

• Sitzungs-Cookies: Supabase Auth-Token fuer Anmeldung und Sitzungsverwaltung.
• Sprachpraeferenz: Speichert die gewaehlte Sprache.
• Cookiebot-Einwilligung: Speichert Ihre Cookie-Praeferenzen.
• Theme-Praeferenz: Speichert die Wahl zwischen hellem oder dunklem Modus (localStorage).

b. Praeferenz-Cookies

Speichern Ihre Auswahl und Einstellungen fuer ein besseres Nutzererlebnis. Werden nur mit Ihrer Einwilligung gesetzt.

c. Statistik-Cookies

Analyse-Cookies, die uns helfen zu verstehen, wie der Dienst genutzt wird, damit wir ihn verbessern koennen. Werden nur mit Ihrer ausdruecklichen Einwilligung gesetzt.

d. Marketing-Cookies

Werden derzeit nicht verwendet, aber die Kategorie existiert in Cookiebot fuer zukuenftige Nutzung. Werden nie ohne Ihre Einwilligung gesetzt.

Sie koennen Ihre Cookie-Einstellungen jederzeit ueber das Cookiebot-Banner oder den Link «Cookie-Einstellungen» in der Fusszeile aendern.

IV. Rechtsgrundlage fuer die Verarbeitung

Wir verarbeiten personenbezogene Daten auf folgenden Rechtsgrundlagen gemaess der DSGVO:

• Vertrag (Art. 6(1)(b)): Verarbeitung, die zur Erfuellung des Vertrags mit Ihnen erforderlich ist — Kontoerstellung, Authentifizierung, Buchung, Ausgabenteilung, Wartungsprotokoll, Aufgaben, Benachrichtigungen und Bereitstellung des Dienstes.
• Einwilligung (Art. 6(1)(a)): Optionale Cookies (Statistik, Praeferenzen, Marketing), Newsletter und Datenverarbeitung ueber den KI-Assistenten.
• Berechtigtes Interesse (Art. 6(1)(f)): Dienstentwicklung, Fehlerbehebung, Sicherheit, Betrugsverhuetung, Verbesserung der Nutzererfahrung sowie Versand von Produktneuigkeiten, Unternehmensnachrichten und Service-Updates an bestehende Nutzer.
• Rechtliche Verpflichtung (Art. 6(1)(c)): Verarbeitung, die zur Erfuellung gesetzlicher Anforderungen erforderlich ist, wie Buchfuehrung und Meldung bei Sicherheitsverletzungen.

V. Verwendung personenbezogener Daten

Wir verwenden Ihre personenbezogenen Daten fuer folgende Zwecke:

• Kontoverwaltung: Erstellung und Verwaltung Ihres Benutzerkontos, Authentifizierung und Zugang zu den Funktionen des Dienstes.
• Dienstbereitstellung: Bereitstellung von Kernfunktionen wie Buchung, Ausgabenteilung, Wartungsprotokoll, Aufgabenlisten, Gaeste-Portal und Nachrichten.
• Kommunikation: Senden von Push-Benachrichtigungen, E-Mail-Benachrichtigungen ueber Kontoaenderungen, Sicherheitsupdates und Aenderungen der Nutzungsbedingungen sowie Produktneuigkeiten, Unternehmensnachrichten, neue Partnerschaften und Service-Updates per E-Mail. Sie koennen sich jederzeit ueber den Abmeldelink in der jeweiligen E-Mail von nicht wesentlichen E-Mails abmelden.
• Zahlung: Abwicklung von Abonnementzahlungen ueber Stripe (wir speichern keine Zahlungskartendetails).
• KI-Assistent: Bereitstellung KI-basierter Unterstuetzung ueber OpenAI. Daten, die Sie an den KI-Assistenten senden, werden von OpenAI gemaess deren Auftragsverarbeitungsvertrag verarbeitet.
• Verbesserung des Dienstes: Analyse von Nutzungsmustern zur Verbesserung von Funktionalitaet, Leistung und Nutzererfahrung.
• Sicherheit: Erkennung und Verhinderung von Betrug, Missbrauch und Sicherheitsbedrohungen.
• Rechtliche Verpflichtungen: Erfuellung gesetzlicher Anforderungen wie Buchfuehrung und Berichterstattung.

VI. Weitergabe personenbezogener Daten

Wir verkaufen Ihre personenbezogenen Daten nicht. Wir koennen personenbezogene Daten in folgenden Situationen weitergeben:

• An Auftragsverarbeiter: Wir geben personenbezogene Daten an Dienstleister weiter, die Daten in unserem Auftrag verarbeiten (siehe Abschnitt VII). Alle Auftragsverarbeiter sind durch Auftragsverarbeitungsvertraege gemaess DSGVO Art. 28 gebunden.
• An andere Nutzer: Informationen, die Sie innerhalb einer Einheit teilen (Buchungen, Nachrichten, Gaestebucheintraege), sind fuer andere Mitglieder dieser Einheit sichtbar. Gaestebucheintraege sind fuer alle mit Zugang zum Gaeste-Portal sichtbar.
• Innerhalb von Organisationen: Wenn Ihre Einheit mit einer Organisation verknuepft ist, kann der Organisationsadministrator den Namen der Einheit und Mitgliederinformationen einsehen. Ankuendigungen, Dokumente und Nachrichten, die ueber die Organisation geteilt werden, sind fuer alle Organisationsmitglieder sichtbar.
• Bei Unternehmensuebernahmen: Falls Redor fusioniert, uebernommen oder wesentliche Vermoegenswerte an ein anderes Unternehmen uebertragen werden, koennen personenbezogene Daten uebertragen werden. Sie werden vorab benachrichtigt.
• Bei rechtlichen Anforderungen: Wir koennen personenbezogene Daten offenlegen, wenn wir rechtlich dazu verpflichtet sind oder um die Rechte von Redor, die Sicherheit der Nutzer oder das oeffentliche Interesse zu schuetzen.
• Mit Ihrer Einwilligung: Wir koennen personenbezogene Daten fuer andere Zwecke weitergeben, wenn Sie Ihre ausdrueckliche Einwilligung erteilen.

VII. Drittanbieterdienste (Auftragsverarbeiter)

Folgende Drittanbieterdienste verarbeiten personenbezogene Daten in unserem Auftrag zur Bereitstellung des Dienstes:

a. Supabase — Authentifizierung und Datenbank

Supabase uebernimmt die Benutzerauthentifizierung (Magic Link und Google-Anmeldung) und speichert Daten in einer PostgreSQL-Datenbank. Die Datenbank wird in EU-West (Irland) gehostet. Supabase ist DSGVO-konform und bietet einen Auftragsverarbeitungsvertrag.

Datenschutz: supabase.com/privacy

b. Stripe — Zahlungsabwicklung

Stripe uebernimmt alle Zahlungen und Abonnements. Wir speichern keine Kartennummern oder Zahlungsdetails — diese werden direkt von Stripe verarbeitet, das PCI DSS-zertifiziert ist.

Datenschutz: stripe.com/privacy

c. OpenAI — KI-Assistent

Bungaflows KI-Assistent nutzt OpenAI (GPT-4o-mini) ueber die API. Daten, die Sie an den KI-Assistenten senden, werden an OpenAI zur Verarbeitung uebermittelt. OpenAI verwendet API-Daten nicht zum Trainieren seiner Modelle. Teilen Sie keine sensiblen personenbezogenen Daten im Chat. Der KI-Assistent respektiert die rollenbasierte Zugriffskontrolle — Lite-Mitglieder koennen den KI-Assistenten nur nutzen, wenn er von ihrem Administrator aktiviert wurde, und die angezeigten Daten werden basierend auf vom Administrator konfigurierten Modulen gefiltert.

Datenschutz: openai.com/policies/privacy-policy

d. Vercel — Hosting und CDN

Vercel hostet Bungaflow und liefert Inhalte ueber sein CDN. Serverprotokolle koennen IP-Adressen und Nutzungsdaten enthalten.

Datenschutz: vercel.com/legal/privacy-policy

e. Cookiebot (Usercentrics) — Einwilligungsverwaltung

Cookiebot verwaltet die Cookie-Einwilligung und scannt die Website nach Cookies. Cookiebot speichert Ihre Einwilligungsentscheidungen.

Datenschutz: cookiebot.com/en/privacy-policy

f. Resend — E-Mail-Versand

Resend uebernimmt den Versand transaktionaler E-Mails (Willkommen, Einladungen, Benachrichtigungen und Feedback). E-Mail-Adressen werden zur Zustellung an Resend uebermittelt.

Datenschutz: resend.com/legal/privacy-policy

g. Google Analytics (Google Tag Manager)

Wir verwenden Google Analytics ueber Google Tag Manager zur Analyse der Webseitennutzung. Analyse-Cookies werden nur mit Ihrer Einwilligung ueber Cookiebot gesetzt. Google kann IP-Adressen und Nutzungsdaten verarbeiten.

Datenschutz: policies.google.com/privacy

h. OpenStreetMap (Nominatim / Overpass)

Wir verwenden Nominatim fuer Geokodierung (Umwandlung von Adressen in Koordinaten) und Overpass API fuer die Suche nach nahegelegenen Orten fuer die lokale Guide-Funktion. Adresse und Koordinaten der Einheit werden an diese Dienste uebermittelt.

Datenschutz: osmfoundation.org/wiki/Privacy_Policy

i. Meteorologisk institutt (MET)

Wir rufen Wettervorhersagen von der API des Meteorologischen Instituts basierend auf den Koordinaten der Einheit ab. Es werden nur Koordinaten uebermittelt — keine personenbezogenen Daten.

Datenschutz: met.no/om-oss/personvern

j. iCal-Import — Kalendersynchronisierung

Nutzer koennen Buchungen von Airbnb, Booking.com, Finn.no und Google Calendar ueber iCal-Feeds importieren. Diese Dienste unterliegen ihren eigenen Datenschutzrichtlinien. Wir rufen nur Kalenderdaten (Termine und Buchungsdetails) von diesen Quellen ab.

VIII. Uebermittlung personenbezogener Daten

Ihre personenbezogenen Daten koennen auf Server ausserhalb Norwegens/des EWR uebertragen und gespeichert werden, da einige unserer Auftragsverarbeiter Infrastruktur in anderen Laendern haben (hauptsaechlich USA).

Bei Uebermittlungen in Laender ausserhalb des EWR stellen wir ein angemessenes Schutzniveau sicher durch:

• Angemessenheitsbeschluesse der EU-Kommission (z.B. EU-US Data Privacy Framework)
• Standardvertragsklauseln (SCCs) der EU-Kommission
• Auftragsverarbeitungsvertraege mit relevanten Sicherheitsmassnahmen

IX. Speicherung und Loeschung personenbezogener Daten

Wir speichern personenbezogene Daten nur so lange, wie es fuer die in dieser Erklaerung beschriebenen Zwecke erforderlich ist oder wie wir gesetzlich zur Aufbewahrung verpflichtet sind.

• Kontodaten: Werden gespeichert, solange das Konto aktiv ist. Bei Kontoloeschung werden personenbezogene Daten innerhalb von 30 Tagen entfernt, mit Ausnahme von Daten, die wir gesetzlich aufbewahren muessen.
• Nutzungsdaten: Werden fuer einen kuerzeren Zeitraum zu Analyse- und Fehlerbehebungszwecken gespeichert, es sei denn, eine laengere Aufbewahrung ist aus Sicherheits- oder rechtlichen Gruenden erforderlich.
• Zahlungsdaten: Stripe bewahrt Transaktionsdaten gemaess PCI DSS-Anforderungen und geltender Buchfuehrungsgesetzgebung auf.
• Serverprotokolle: IP-Adressen und technische Protokolle werden nach 30 Tagen automatisch geloescht.

Bungaflow bietet eine Exportfunktion in den Einstellungen, mit der Sie alle Daten einer Einheit herunterladen koennen. Wir empfehlen, diese regelmaessig zu nutzen, um eine eigene Sicherungskopie Ihrer Daten zu haben.

Sie koennen jederzeit die Loeschung Ihres Kontos und der zugehoerigen personenbezogenen Daten beantragen unter hei@redor.no.

X. Datensicherheit

Wir nehmen die Sicherheit Ihrer personenbezogenen Daten ernst und haben technische und organisatorische Massnahmen zu deren Schutz implementiert:

• Sensible Daten (z.B. WiFi-Passwoerter) werden mit AES-256-GCM vor der Speicherung verschluesselt.
• Gesamter Datenverkehr wird ueber HTTPS/TLS uebertragen.
• Sicherheitsheader wie HSTS, X-Frame-Options und Content-Security-Policy sind aktiviert.
• Authentifizierung wird von Supabase mit sicherer Sitzungsverwaltung uebernommen.
• Regelmaessige Sicherheitsueberpruefung von Code und Infrastruktur.
• Rollenbasierte Zugriffskontrolle (Admin, Lite) mit konfigurierbarem Seitenzugriff stellt sicher, dass Nutzer nur auf Daten zugreifen koennen, fuer die sie autorisiert sind.

Keine Methode der Uebertragung ueber das Internet oder elektronische Speicherung ist zu 100 % sicher. Wir bemuehen uns, kommerziell akzeptable Methoden zum Schutz Ihrer personenbezogenen Daten zu verwenden, koennen jedoch keine absolute Sicherheit garantieren.

Bei Sicherheitsverletzungen, die personenbezogene Daten betreffen, werden wir die zustaendige Aufsichtsbehoerde innerhalb von 72 Stunden benachrichtigen (DSGVO Art. 33) und betroffene Nutzer unverzueglich informieren, wenn die Verletzung ein hohes Risiko fuer die Rechte und Freiheiten der betroffenen Personen darstellt (DSGVO Art. 34).

XI. Ihre Rechte nach der DSGVO

Als betroffene Person haben Sie folgende Rechte gemaess der DSGVO:

• Recht auf Auskunft (Art. 15): Sie haben das Recht zu erfahren, ob wir Ihre personenbezogenen Daten verarbeiten, und Zugang zu den Daten sowie Informationen ueber die Verarbeitung zu erhalten.
• Recht auf Berichtigung (Art. 16): Sie haben das Recht, unrichtige personenbezogene Daten unverzueglich berichtigen zu lassen.
• Recht auf Loeschung (Art. 17): Sie haben das Recht, die Loeschung Ihrer personenbezogenen Daten zu verlangen, wenn kein legitimer Grund fuer die weitere Verarbeitung besteht.
• Recht auf Einschraenkung (Art. 18): Sie haben das Recht, die Einschraenkung der Verarbeitung in bestimmten Situationen zu verlangen.
• Recht auf Datenuebertragbarkeit (Art. 20): Sie haben das Recht, Ihre personenbezogenen Daten in einem strukturierten, gaengigen und maschinenlesbaren Format zu erhalten und an einen anderen Verantwortlichen zu uebertragen.
• Recht auf Widerspruch (Art. 21): Sie haben das Recht, der Verarbeitung auf Grundlage berechtigter Interessen, einschliesslich Profiling, zu widersprechen.
• Recht auf Widerruf der Einwilligung: Wenn die Verarbeitung auf Einwilligung basiert, koennen Sie diese jederzeit widerrufen. Der Widerruf beruehrt nicht die Rechtmaessigkeit der vor dem Widerruf erfolgten Verarbeitung.

Ausuebung Ihrer Rechte

Zur Ausuebung Ihrer Rechte kontaktieren Sie uns unter hei@redor.no. Wir koennen Sie bitten, Ihre Identitaet zu bestaetigen, bevor wir die Anfrage bearbeiten. Wir antworten innerhalb von 30 Tagen nach Erhalt der Anfrage. Bei komplexen oder zahlreichen Anfragen kann die Frist um weitere 60 Tage verlaengert werden, mit vorheriger Benachrichtigung.

Sie haben das Recht, Beschwerde bei der norwegischen Datenschutzbehoerde (Datatilsynet) einzulegen, wenn Sie der Meinung sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO oder norwegisches Datenschutzrecht verstoesst.

Datatilsynet: datatilsynet.no

XII. Automatisierte Entscheidungen und Profiling

Bungaflow verwendet keine automatisierte Entscheidungsfindung oder Profiling gemaess DSGVO Art. 22, die rechtliche oder aehnlich erhebliche Auswirkungen auf Sie hat. Der KI-Assistent gibt Informationen und Vorschlaege, trifft jedoch keine Entscheidungen in Ihrem Namen.

Ausgabenberechnungen, Kostenverteilungen und andere Berechnungen im Dienst sind Werkzeuge — keine finanzielle oder rechtliche Beratung. Sie sind selbst dafuer verantwortlich, die Berechnungen zu ueberpruefen und Ihre eigenen Entscheidungen zu treffen.

XIII. Kinder

Bungaflow richtet sich nicht an Kinder unter 16 Jahren. Kinder ueber 16 koennen eine Lite-Rolle in einer Einheit haben, aber das Konto sollte von einem Erziehungsberechtigten erstellt und verwaltet werden.

XIV. Links zu anderen Webseiten

Der Dienst kann Links zu externen Webseiten enthalten, die nicht von uns betrieben werden. Wir haben keine Kontrolle ueber und uebernehmen keine Verantwortung fuer deren Inhalte oder Datenschutzpraktiken.

XV. Aenderungen dieser Datenschutzerklaerung

Wir koennen diese Datenschutzerklaerung aktualisieren. Bei wesentlichen Aenderungen werden Sie mindestens 30 Tage im Voraus per E-Mail benachrichtigt.

XVI. Kontaktinformationen

Bei Fragen zu dieser Datenschutzerklaerung oder zur Ausuebung Ihrer Rechte kontaktieren Sie uns:

Verantwortlicher:

Redor AS
Org.-Nr. 916 505 310
E-Mail: hei@redor.no
Webseite: www.redor.no

Aufsichtsbehoerde:

Datatilsynet (Norwegische Datenschutzbehoerde)
www.datatilsynet.no