Datenschutzhinweise rufmobil.nrw

Letzte Aktualisierung: 18.03.2026

1. Einleitung

Der Verkehrsverbund Rhein-Ruhr („wir“, „uns“ oder „VRR“) bietet in Zusammenarbeit mit den angeschlossenen Mandanten innerhalb des VRR-Netzes den On-Demand- Mobilitätsdienst „rufmobil.nrw“ an.

Diese Datenschutzhinweise beschreiben, wie wir Ihre personenbezogenen Daten im Sinne von Art. 4 Nr. 1 DSGVO („personenbezogene Daten“) verarbeiten, wenn Sie die Dienste und unsere Anwendung „rufmobil.nrw“ (die „App“) nutzen. Sie informieren Sie außerdem über Ihre Rechte gemäß der Datenschutz-Grundverordnung („DSGVO“) und dem Bundesdatenschutzgesetz („BDSG“). Alle verwendeten Begriffe gelten gleichermaßen für alle Geschlechter.

2. Wer ist für Ihre personenbezogenen Daten verantwortlich?

Für die Verarbeitung Ihrer personenbezogenen Daten ist: Verkehrsverbund Rhein-Ruhr AöR (VRR)

Augustastr. 1

45879 Gelsenkirchen

Tel. 0209 / 1584-0

info@vrr.de www.vrr.de

gemeinsam mit den angeschlossenen Mandanten verantwortlich.

Den Datenschutzbeauftragten der VRR AöR erreichen Sie unter: datenschutz@vrr.de

Zum aktuellen Zeitpunkt sind folgende Mandanten angeschlossen:

Nahverkehrsgesellschaft Hochstift mbH

Geschäftsführer Christoph Rüther Bahnhofstraße 27

33102 Paderborn

Telefon 0 52 51 / 12 33 - 0

Telefax 0 52 51 / 12 33 – 99 Internet: www.nph.de

E-Mail: info@hochstiftbewegt.de

Den Datenschutzbeauftragten der Nahverkehrsgesellschaft Hochstift mbH erreichen Sie unter:

Nahverkehrsgesellschaft Hochstift mbH Datenschutzbeauftragter

Peter Roth Aldegreverstraße 10-14

33102 Paderborn

REVG Rhein-Erft-Verkehrsgesellschaft mbH

Röntgenstraße 9

50169 Kerpen

Geschäftsführer: Martin Gawrisch, Walter Reinarz Telefon: 02237 6969-10

E-Mail: info@revg.de

Datenschutzbeauftragter: Stephan Rheinwald, datenschutz@revg.de

OVAG Oberbergische Verkehrsgesellschaft mbH

Kölner Str. 237

51645 Gummersbach Telefon: 02261/9260-0

E-Mail: info@ovaginfo.de

Der betriebliche Datenschutzbeauftragte der OVAG ist unter der Anschrift dhpg IT-Services GmbH

Bunsenstr. 10a 51647 Gummersbach

zu Hd. Herrn Dr. Christian Lenz,

beziehungsweise unter datenschutz@dhpg.de oder 02261-8195-0 erreichbar.

Ruhrbahn GmbH

Zweigertstraße 34

45130 Essen Tel.: 0201/826-0

E-Mail: info(at)ruhrbahn.de Internet: www.ruhrbahn.de

Kontaktdaten des Datenschutzbeauftragten:

Ruhrbahn GmbH Datenschutzbeauftragter Zweigertstraße 34

45130 Essen Tel.: 0201/826-0

E-Mail: datenschutz(at)ruhrbahn.de

Duisburger Verkehrsgesellschaft AG

Bungertstraße 27

47053 Duisburg

Kontaktdaten des Datenschutzbeauftragten:

Duisburger Verkehrsgesellschaft AG Datenschutzbeauftragter Bungertstraße 27

47053 Duisburg

E-Mail: datenschutzbeauftragter(at)dvg-duisburg.de

Was bedeutet die gemeinsame Verantwortlichkeit für Sie?

Beim Betrieb von rufmobil.nrw sind die VRR AöR und alle angeschlossenen Mandanten für die Aktivitäten

im Zusammenhang mit der Registrierung und Verwaltung von Benutzerkonten,
zur Sicherstellung der Systemstabilität und Sicherheit sowie Ermöglichung von Fehlerbehandlung und Verbesserung von rufmobil.nrw
zur Personalisierung, Werbung und Marketing
im Zusammenhang mit Reporting, interne Abläufe, die Einhaltung von Vorschriften und die Beantwortung rechtmäßiger Anfragen gemeinsam verantwortlich.

Die VRR AöR und nur der jeweils beteiligte Mandant sind für die Aktivitäten im Zusammenhang mit der Suche, Buchung und Durchführung einer Fahrt zur Kommunikation mit Ihnen und zur Erbringung von Support

zur Organisation und Erbringung der Verkehrsleistungen gemeinsam verantwortlich.

Die VRR AöR und alle angeschlossenen Mandanten haben in einem gemeinsam unterzeichneten Vertrag ihre jeweiligen Rechte und Pflichten festgelegt.

Für die Wahrnehmung Ihrer Betroffenenrecht (s.u. 8) ist die VRR AöR verantwortlich. Sie können sich mit Ihren Anliegen sowohl an die VRR AöR oder jeden der angeschlossenen Mandanten wenden. Ihr Anliegen wird im Zweifel intern weitergeleitet und Sie erhalten eine Antwort durch die VRR AöR. Hierbei erhält die VRR AöR alle benötigten Informationen von den angeschlossenen Mandanten.

Die VRR AöR und die angeschlossenen Mandanten sind ausschließlich für Verarbeitungstätigkeiten innerhalb von rufmobil.nrw gemeinsam verantwortlich. Für Verarbeitungen außerhalb von rufmobil.nrw sind die VRR AöR bzw. die jeweiligen Mandanten allein verantwortlich. Informationen zu Verarbeitungstätigkeiten außerhalb von rufmobil.nrw finden Sie in den Datenschutzerklärungen der jeweiligen Mandanten.

3. Verarbeitung personenbezogener Daten: Arten, Zwecke und Rechtsgrundlagen

Wir erheben und verarbeiten personenbezogene Daten, die Sie uns freiwillig zur Verfügung stellen oder die bei der Nutzung der App erhoben werden. Die Arten der verarbeiteten personenbezogenen Daten und die Zwecke, für die sie verwendet werden, hängen von den spezifischen Diensten und Funktionen ab, auf die Sie zugreifen.

Die Arten der von uns erhobenen und verarbeiteten personenbezogenen Daten sowie die Zwecke der Verarbeitung und die entsprechenden Rechtsgrundlagen für jeden Zweck sind nachstehend aufgeführt.

Wie unten beschrieben, bitten wir Sie in bestimmten Fällen um Ihre Einwilligung zur Erhebung und Verarbeitung personenbezogener Daten. Wenn wir uns auf Ihre Einwilligung stützen, haben Sie das Recht, diese jederzeit zu widerrufen, und wir werden die Verarbeitung Ihrer personenbezogenen Daten für den Zweck, für den Sie Ihre Einwilligung erteilt haben, einstellen.

Die Verarbeitung personenbezogener Daten für Werbe- und Marketingkommunikation erfolgt ausschließlich auf der Grundlage Ihrer Einwilligung. Marketingmitteilungen und Werbeinhalte werden nur versendet, wenn Sie sich ausdrücklich dafür entschieden haben. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Marketing-Einwilligung in den Kontoeinstellungen der App deaktivieren oder den Abmeldelink verwenden, der in jeder Marketing-E-Mail enthalten ist, die Sie erhalten.

Wenn wir personenbezogene Daten auf der Grundlage unserer berechtigten Interessen verarbeiten, erfolgt diese Verarbeitung zum Betrieb und zur Wartung der Dienste, zur Gewährleistung ihrer ordnungsgemäßen Funktion und Relevanz, zur Verbesserung der Dienste oder Entwicklung neuer Dienste und Funktionen sowie zur Verhinderung von Betrug bei gleichzeitiger Förderung von Sicherheit und Schutz.

3.1. Benutzerkonto

Um die Dienste nutzen zu können, müssen Sie ein Konto bei uns unterhalten („Benutzerkonto“). Wir erfassen personenbezogene Daten von Ihnen, wenn Sie ein Benutzerkonto erstellen oder aktualisieren. Zu den personenbezogenen Daten gehören: Ihr vollständiger Name, Ihre E-Mail- Adresse, Ihre Telefonnummer, Ihre Anmeldedaten und ein Foto oder Profilbild (optional) („Benutzerkontodaten“).

Wir erfassen Informationen über Ihre Zahlungsmethoden und Ihre Transaktionen sowie die letzten vier Ziffern Ihrer Zahlungskartennummer (s. auch 3.2(2) Transaktions- und Zahlungsmethodeninformationen). Bitte beachten Sie, dass wir vollständige Debit- oder Kreditkartennummern nicht direkt erfassen oder speichern. Die erfassten Daten brauchen wir, damit Sie ein Benutzerkonto anlegen und unsere Dienste nutzen können. Sie ermöglichen die Anmeldung, die Verwaltung Ihres Profils sowie die Kommunikation mit Ihnen, zum Beispiel bei Rückfragen oder Buchungsinformationen. Bei der Benutzerkontoerstellung nutzen wir z.B. Mailchimp zum Versand notwendiger System-E-Mails wie der Bestätigungs- oder Willkommen-E-Mail.

Zu den Unterauftragsverarbeitern, die uns bei Benutzerkontoerstellung unterstützen, gehören Mailchimp (Email Versand, siehe 3.16), mParticle (Ereignisverfolgung, siehe 3.17), LeanPlum/Braze (Transaktionsbenachrichtigungen, siehe 3.15 und 3.13), Branch (Deep-Linking- Funktionen, siehe 3.12) und Infrastrukturdienstleister wie Aiven (Datenbankverwaltung, siehe 3.8), AWS (Cloud-Hosting, siehe 3.9), Snowflake (Dienstanalyse, siehe 3.11), Coralogix (Protokollierung zur Fehlerdiagnose, siehe 3.21) und Cloudflare (Sicherheit und Netzwerkschutz, siehe 3.19).

Wir verarbeiten Ihre Benutzerkontodaten sowie die Transaktions- und Zahlungsmethodeninformationen für die unten aufgeführten Zwecke auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Einrichtung und Verwaltung von Benutzerkonten: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Personalisierung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) und der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Verbesserung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interne Abläufe der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Diese Verarbeitung basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und zur Bearbeitung von Streitigkeiten im Zusammenhang mit Benutzerkonten, Buchungen oder Transaktionen.

3.2.

(1) Buchung und Durchführung einer Fahrt

(a) Wenn Sie nach verfügbaren Fahrten suchen oder eine Buchungsanfrage stellen, verarbeiten wir Ihre personenbezogenen Daten, die für die Planung, Berechnung und Koordination Ihrer Fahrt erforderlich sind. Dazu gehören Standortdaten wie GPS-Koordinaten, Abhol- und Zieladressen, Gerätesprache, Zeitstempel und zusätzliche fahrtrelevante Details wie die Anzahl der Fahrgäste. Zur Berechnung der Routen werden Standortdaten wie Ihre Abhol- und Zieladressen sowie Ihre IP-Adresse an Google Maps (siehe unten Abschnitt 3.14) übermittelt, das diese Daten für die Routenberechnung verarbeitet und anschließend uns die von Ihnen gewählten Adressen übermittelt. Wir geben die Buchungs- und Fahrtinformationen an den jeweiligen Mandanten weiter, damit Ihre Fahrt geplant und durchgeführt werden kann.

(b) Während der Durchführung Ihrer Fahrt verarbeiten wir und der Mandantdie Daten, um den Fortschritt Ihrer Fahrt zu überwachen, die Betriebssicherheit zu gewährleisten, voraussichtliche Ankunftszeiten anzugeben und die Kommunikation zwischen Ihnen, Ihrem Fahrer und dem Support-Personal zu erleichtern. Während Ihrer aktiven Fahrt erhalten wir und der Mandantaußerdem Zugriff auf den Echtzeit-Standort des Fahrzeugs, in dem Sie unterwegs sind. Dies geschieht über das GPS-Signal des Mobilgeräts des Fahrers und ermöglicht es Ihnen, den Verlauf Ihrer Fahrt zu verfolgen, voraussichtliche Ankunftszeiten zu berechnen und bei Bedarf Unterstützung zu leisten. Diese Daten gelten als indirekt personenbezogene Daten, da sie mit Ihrer gebuchten Fahrt verknüpft sind und nur während Ihrer aktiven Fahrt verarbeitet werden. Wir können begrenzte Fahrteninformationen wie Abhol- und Zielorte sowie Zeitstempel als Teil Ihres Fahrtenverlaufs speichern, wie in Abschnitt 3.4 beschrieben.

Zu den Unterauftragsverarbeitern, die uns bei Buchung und Durchführung einer Fahrt unterstützen, gehören mParticle (Ereignisverfolgung, siehe 3.17), LeanPlum/Braze (Transaktionsbenachrichtigungen, siehe 3.15 und 3.13), Branch (Deep-Linking-Funktionen, siehe 3.12) und Infrastrukturdienstleister wie Aiven (Datenbankverwaltung, siehe 3.8), AWS (Cloud-Hosting, siehe 3.9), Snowflake (Dienstanalyse, siehe 3.11), Coralogix (Protokollierung zur Fehlerdiagnose, siehe 3.21) und Cloudflare (Sicherheit und Netzwerkschutz, siehe 3.19).

Diese Dienstleister agieren als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO und sind vertraglich an Datenschutz- und Sicherheitsverpflichtungen gebunden.

Wir verarbeiten Ihre personenbezogenen Daten zur Buchung und Durchführung einer Fahrt für die unten aufgeführten Zwecke auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Werbung und Marketingkommunikation: Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Gewährleistung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Diese Verarbeitung basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und zur Bearbeitung von Streitigkeiten im Zusammenhang mit Buchungen und Fahrten.

(2) Transaktions- und Zahlungsmethodeninformationen

Wie bereits in Abschnitt 3.1 erwähnt, verarbeiten wir Ihre Transaktions- und Zahlungsmethodeninformationen.

Dabei werden Ihr vollständiger Name, Zeitstempel sowie technische Gerätedaten wie Gerätehersteller und -modell, Gerätestatus, Betriebssystem und -version sowie die Betriebssystemsprache verarbeitet. Zahlungsmethodeninformationen umfassen u. a. den Namen des Karteninhabers, die Art des Zahlungsmittels und die letzten vier Ziffern Ihrer Zahlungskarte. Zudem verarbeiten wir Transaktionsdaten (Fahrtkosten, Zahlungsstatus, Steueranteile) sowie Informationen zu fehlgeschlagenen Abbuchungen. Vollständige Debit- oder Kreditkartennummern erfassen wir nicht.

Zur Abwicklung von Zahlungen nutzen wir den Zahlungsdienstleister Stripe Technology Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland. Stripe verarbeitet im Rahmen seiner Tätigkeit personenbezogene Daten (u. a. Zahlungsmittelinformationen, Gerätedaten, Zahlungsbeträge) zur Durchführung von Transaktionen sowie zur Erkennung und Prävention von Betrugsfällen. Stripe nimmt die vollständigen Kartendaten entgegen und erzeugt daraus einen Zahlungstoken, den wir in Ihrem Benutzerkonto speichern. Mit diesem Token können wir zukünftige Zahlungen sicher auslösen, ohne dass wir selbst jemals Zugriff auf Ihre vollständigen Zahlungsdaten haben. Weitere Informationen finden Sie in der Datenschutzerklärung von Stripe unter: stripe.com/de/privacy.

Ihre Transaktions- und Zahlungsmethodeninformationen werden zur Abwicklung Ihrer Fahrt, zur Rechnungserstellung und zur Verfolgung und Abwicklung von Zahlungen verarbeitet. Darüber hinaus verwenden wir Zahlungsdaten für interne Abläufe, Aufzeichnungsverwaltung und zur Erfüllung gesetzlicher Verpflichtungen wie Buchhaltungs- und Steueranforderungen.

Zu den Unterauftragsverarbeitern, die uns bei der Verarbeitung von Zahlungsdaten unterstützen, gehören neben Stripe (3.22) auch Mailchimp (Email Versand, siehe 3.16), Aiven (Datenbankenverwaltung, siehe Abschnitt 3.8), AWS (Cloud-Hosting, siehe Abschnitt 3.9), Snowflake (Transaktionsanalyse und Finanz-Reporting, siehe Abschnitt 3.11) - mParticle (Ereignisverfolgung, siehe 3.17), Coralogix (Protokollierung zur Fehlerdiagnose, siehe 3.21), LeanPlum/Braze (Transaktionsbenachrichtigungen, siehe 3.15 und 3.13) und Cloudflare (Sicherheit und Netzwerkschutz, siehe Abschnitt 3.19). Diese Dienstleister agieren als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO und sind vertraglich an Datenschutz- und Sicherheitsverpflichtungen gebunden.

Wir verarbeiten Ihre personenbezogenen Daten zur Transaktions- und Zahlungsmethodeninformationen für die unten aufgeführten Zwecke auf der für jeden Zweck angegebenen Rechtsgrundlage:

Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung Ihrer Zahlungsdaten ist erforderlich für die Abwicklung des Vertrags mit Ihnen, einschließlich der Erbringung der Transportdienstleistung und der Rechnungserstellung.
Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO): Die Verarbeitung erfolgt zur Einhaltung von Buchhaltungs-, Steuer- und Aufzeichnungsverpflichtungen gemäß deutschem und europäischem Recht.
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung erfolgt zur Gewährleistung von Sicherheit und Betrugsprävention sowie zur Verfolgung und Abwicklung ausstehender Zahlungen.

3.3. Kontaktaufnahme mit uns

Wenn Sie mit uns Kontakt aufnehmen, erfassen wir alle von Ihnen bereitgestellten Informationen (einschließlich des Inhalts Ihrer Nachricht und etwaiger Anhänge). Wir erfassen auch Informationen, die aus Ihrer Kommunikation ersichtlich sind (z. B. die E-Mail-Adresse oder Telefonnummer, mit der Sie uns kontaktiert haben). Die Daten werden verwendet, um Ihnen beispielsweise bei einer Anfrage an den Kundensupport Unterstützung leisten zu können.

Wir verarbeiten die personenbezogenen Daten, die Sie uns bei der Kontaktaufnahme zur Verfügung stellen, für die unten aufgeführten Zwecke auf der für jeden Zweck angegebenen Rechtsgrundlage:

Erbringung der Dienstleistungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Gewährleistung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interne Abläufe der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO); berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Diese Verarbeitung basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und zur Bearbeitung von Streitigkeiten, die sich aus Ihrer Nutzung der Dienste oder Ihrer Kommunikation mit uns ergeben.

3.4. Standortdaten und Fahrthistorie

Wir erfassen Standortdaten. Dazu gehören Standortdaten wie GPS-Koordinaten und Abhol- und Zieladressen, die wir - wie in Abschnitt 3.2 (1) beschrieben - während einer Buchung und Fahrtdurchführung verarbeiten.

Für die Anzeige Ihrer Fahrthistorie erfassen wir Zeitstempel von Fahrtenereignissen (Abholung, Abgabe, Buchung, Stornierung, Nichterscheinen) und Adressen früherer Fahrten sowie die Kosten und ihre Transaktions- und Zahlungsmethodeninformationen in Ihrem Benutzerkonto. Damit ermöglichen wir Ihnen einen schnelleren Buchungsprozess, eine transparente Übersicht Ihrer Fahrten sowie die Möglichkeit zur Rechnungsprüfung. Sie können einzelne Adressen als Favoriten speichern (z.B. „Zuhause", „Büro"), um künftige Buchungen zu beschleunigen.

Fahrdaten wie Start, Ziel, Zeiten, Anzahl der Passagiere, Kosten werden zudem gespeichert, um die Rechnung zu erstellen und bei Reklamationen (z.B. zu Fahrtdauer oder -strecke) oder Zahlungsdisputen Nachweise zu ermöglichen.

Standortdaten wie GPS-Koordinaten und Fahrtdistanz werden im Übrigen für statistische Auswertungen und Service-Verbesserung verarbeitet, wie in Abschnitt

3.6 (3) (Nutzungsdaten) beschrieben. Des Weiteren verarbeiten wir GPS- Koordinaten zur Versendung ortsbezogener Benachrichtigungen (z.B. „Fahrer ist in Ihrer Nähe").

Zu den Unterauftragsverarbeitern, die uns bei der Verarbeitung von Standortdaten und Fahrthistorie unterstützen, gehören mParticle (Ereignisverfolgung, siehe 3.17), LeanPlum/Braze (Versendung ortsbezogener Benachrichtigungen, siehe 3.15 und 3.13), Branch (Deep-Linking-Funktionen, siehe 3.12), Coralogix (Protokollierung zur Fehlerdiagnose, siehe 3.21) und Infrastrukturdienstleister wie Aiven (Datenbankverwaltung, siehe 3.8), AWS (Cloud-Hosting, siehe 3.9), Snowflake (Dienstanalyse, siehe 3.11) und Cloudflare (Sicherheit und Netzwerkschutz, siehe 3.19). Diese Dienstleister agieren als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO und sind vertraglich an Datenschutz- und Sicherheitsverpflichtungen gebunden. Sie können Ihre Einstellungen zur Standortfreigabe jederzeit über Ihre Geräteeinstellungen verwalten oder ändern.

Wir verarbeiten Ihre Standortdaten und Ihre Fahrthistorie für die unten aufgeführten Zwecke auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Die Personalisierung der Dienste, beispielsweise durch Vorschläge häufig genutzter Abholorte oder die Anzeige Ihrer Fahrhistorie, basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Wenn die Personalisierung auf den Standorteinstellungen Ihres Geräts basiert oder für marketingbezogene Personalisierungen verwendet wird, stützen wir uns auf Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Erleichterung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interne Abläufe der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO); berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Diese Verarbeitung basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und zur Bearbeitung von Streitigkeiten, die sich aus Ihren Reisen und der Nutzung unserer Dienste ergeben.

3.5. Gerätedaten

Wir erfassen Informationen, die von den Geräten übertragen werden, die Sie für den Zugriff auf die Dienste verwenden. Dazu gehören Ihre IP- Adresse, Geräte-ID, ähnliche eindeutige Online- und Mobilgeräte-Identifikatoren, Gerätename, Gerätehersteller und -modell, Gerätestatus, Betriebssystem und -version, Betriebssystemsprache und App-Version. Diese Informationen werden erfasst, wenn Sie auf unsere App zugreifen – teils direkt auf unseren Servern (z.B. IP-Adressen über Cloudflare), teils über technische Dienstleister mithilfe von Software Development Kits (SDKs) und verwandten Tracking-Technologien. Weitere Informationen zu Tracking-Technologien finden Sie in den nachfolgenden Abschnitten 3.8 ff unten.

Wir erheben diese Gerätedaten, damit die App ordnungsgemäß funktioniert und die Inhalte korrekt dargestellt werden. Dazu gehören insbesondere die eingestellte Betriebssystemsprache, um die App automatisch in der für Sie passenden Sprache anzeigen zu können, sowie weitere technische Informationen wie Betriebssystem und Gerätemodell, damit die App mit Ihrem Gerät kompatibel ist und Fehlfunktionen vermieden werden. Diese Daten helfen uns zu verstehen, wie Ihr Gerät mit der App kommuniziert, sodass wir eine stabile und benutzerfreundliche Nutzung gewährleisten können.

Diese Gerätedaten sind zudem erforderlich, um Sie zu authentifizieren, die Sicherheit unserer Plattform zu gewährleisten und Betrugsprävention durchzuführen. Bei Registrierung und Anmeldung nutzen wir Google reCAPTCHA v3 zur Prävention von Missbrauch und automatisiertem Zugriff. Dabei übermitteln wir Ihre IP-Adresse und Gerätedaten wie Gerätehersteller, Betriebssystem und App-Version und das Nutzungsverhalten (Mausbewegungen, Klicks) an Google (s. Abschnitt 3.18)). Google bewertet die Wahrscheinlichkeit eines automatisierten oder missbräuchlichen Zugriffs auf Basis dieser Daten und kommuniziert das Ergebnis an uns zurück.

Darüber hinaus werden auch Gerätedaten wie Gerätetyp, Betriebssystem und App-Version verarbeitet, um App-Fehler, Abstürze und Leistungsprobleme zu diagnostizieren und die Stabilität, Zuverlässigkeit und Performance unserer App zu gewährleisten. Spezialisierte Fehlerbehandlungs- und Monitoring-Tools (Coralogix, Firebase/Crashlytics, Sentry) erfassen dabei technische Gerätedaten sowie Protokolle zu kritischen Systemereignissen (z. B. Abstürze, Fehler, Performance-Probleme).

Zu den Unterauftragsverarbeitern, die uns bei der Erfassung und Verarbeitung von Gerätedaten unterstützen, gehören Aiven (Datenbankverwaltung, siehe 3.8), AWS (Cloud-Hosting, siehe 3.9), Snowflake (statistische Auswertungen und Dienstanalyse, siehe 3.11), Cloudflare (Sicherheit und Netzwerkschutz, siehe 3.19), mParticle (Ereignisverfolgung, siehe 3.17), Branch (Deep-Linking- Funktionen, siehe 3.12), LeanPlum/Braze (Transaktionsbenachrichtungen, siehe 3.15 und 3.13), Google LLC (reCAPTCHA für Sicherheitsverifikation, siehe 3.18), Coralogix (Protokollierung zur Fehlerdiagnose, siehe 3.21) und Sentry (iOS) und Crashlytics/Firebase (Android) (Fehlerbehandlung Crash-Reporting, siehe 3.23 und 3.24) Diese Dienstleister agieren als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO und sind vertraglich an Datenschutz- und Sicherheitsverpflichtungen gebunden.

Wir verarbeiten Ihre Gerätedaten für die unten aufgeführten Zwecke auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Die Personalisierung der Dienste, beispielsweise durch Anpassung der App-Erfahrung an Ihre Geräte- und Spracheinstellungen, basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Wenn die Personalisierung auf Tracking-Technologien beruht, die nicht unbedingt erforderlich sind (wie bestimmte Cookies oder SDKs), stützen wir uns auf Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Erleichterung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Werbung und Marketingkommunikation (wenn Gerätedaten für Tracking- basierte Werbung oder Messungen verwendet werden): Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und, soweit nach geltendem Recht zulässig, unsere berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interne Abläufe der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).
Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung dient der Sicherstellung von Systemstabilität, Fehlerbehandlung und Optimierung der Dienstqualität.

3.6. Nutzungsdaten

Wir erfassen Informationen darüber, wie Sie die Dienste nutzen und mit ihnen interagieren (Nutzungsdaten). Dazu gehören u.a. Ihre Nutzungsereignisse (Buchungen, Stornierungen, Evaluationen), Standortinformationen (GPS-Daten), Fahrthistorie, Gerätedaten sowie Ihre Kontoinformationen. Bei der Nutzung unserer Services (z. B. bei Buchungen, Zahlungen, Profiländerungen) erfassen wir diese Daten direkt von Ihnen. Zusätzlich können diese von uns oder unseren Drittanbietern mithilfe von Cookies und verwandten Technologien (z. B. SDKs) erfasst und gespeichert werden. Weitere Informationen finden Sie in den Abschnitten 3.8 ff unten.

Zwecke der Nutzungsdaten-Verarbeitung:

(1) Durchführung und Personalisierung von Marketing-Maßnahmen:

Mit Ihrer Einwilligung nutzen wir Ihre Nutzungsdaten zur Personalisierung und zum Versand von Marketing-Mitteilungen über unsere Angebote, Services und Aktionen. Dies umfasst insbesondere die Auswertung Ihrer vorherigen Servicenutzung (z.B. Buchungshäufigkeit, Verkehrsgebiete, in denen Sie den Dienst nutzen) sowie die Versendung von Werbung an ausgewählte Nutzergruppen (z.B. standortspezifische Weihnachtsgrüße oder Erinnerungsnachrichten für inaktive Stammkunden). Die Marketing-Kampagnen und Zielgruppen werden von uns manuell definiert und gesteuert; die Entscheidung über den Versand von Werbung an bestimmte Nutzer wird durch unser Marketing-Team getroffen. Unterauftragsverarbeiter mParticle (Ereignisverfolgung, siehe 3.17), LeanPlum/Braze (Versendung Benachrichtigungen, siehe 3.15 und 3.13)

(2) Verbesserung und Optimierung der App-Benutzung:

Wir analysieren Nutzungsabläufe und Nutzer-Erfahrungs-Daten, um die App- Oberfläche und Benutzerführung zu optimieren. Dies umfasst:

Nutzerinteraktionen und Verwirrungssignale: Wir erfassen selbst definierte Nutzerinteraktionen in der App (z.B. Klicks, Scrolls, Eingaben), um Interaktionsmuster zu identifizieren, die auf Verwirrung hindeuten (z.B. mehrfache Klicks auf nicht-responsive Elemente). Dies ist insbesondere bei neuen App Funktionen hilfreich, um zu verstehen, ob diese neue Funktion verstanden wird und überhaupt einen Mehrwert für den Nutzer bringt. Auf dieser Basis können wir Korrekturen in der nächsten Version der App vornehmen und die Bedienbarkeit der App verbessern.

Abbruchpunkte im Buchungsablauf: Wir identifizieren, an welchen Stellen des Buchungsflusses Nutzer aussteigen (z.B. wenn ein Nutzer eine Fahrt anfordert, aber den Buchungsprozess nicht abschließt). Wir analysieren dann, ob es nicht ausreichend sichtbare Schaltflächen, verwirrende Schritte oder andere Barrieren gibt, die einen Abbruch verursachen. Mit den daraus gewonnenen Erkenntnissen verbessern wir die Benutzerführung, um sicherzustellen, dass interessierte Nutzer ihre gewünschte Fahrt auch tatsächlich buchen können.

Fehlerbehandlung: Wir analysieren Fehlermeldungen, um kritische technische Probleme zu identifizieren (z.B. wenn ein Nutzer auf den Buchen-Button klickt und eine Fehlermeldung erhält). Diese Probleme werden sofort erkannt und behoben.

Unterauftragsverarbeiter: mParticle (Ereignisverfolgung, siehe 3.17)

(3) Verbesserung des Leistungsangebotes und Reporting:

(a) Verbesserung des Leistungsangebotes:

Zur Verbesserung unseres Leistungsangebots analysieren wir aggregierte Nutzungsmuster und Servicequalitätskennzahlen basierend auf dokumentierten Fahrtdaten. Diese Analysen helfen uns, Servicedefizite zu identifizieren und gezielt zu beheben.

Beispiele unserer Analysen:

Stornierungsraten nach Kontext: Wir analysieren Stornierungsmuster nach verschiedenen Dimensionen – beispielsweise nach Tageszeit, Wochentag oder innerhalb des Verkehrsgebiets (gibt es Zonen-spezifische Stornierungsmuster?). Basierend auf diesen aggregierten Erkenntnissen passen wir unser Angebot an – beispielsweise durch bessere Kapazitätsplanung in kritischen Zeiten oder Zonen- spezifische Service-Verbesserungen.

Nichterscheinensquoten: Wir analysieren, in welchen Situationen gebuchte Fahrten nicht angetreten werden. Dies hilft uns zu verstehen, wo Fahrgäste besonders anfällig für Nichterscheinen sind, und ermöglicht Service- Verbesserungen wie bessere Fahrgast-Kommunikation oder angepasste Reminder-Systeme.

Unterauftragsverarbeiter: mParticle (Ereignisverfolgung, siehe 3.17), Snowflake (statistische Auswertungen und Dienstanalyse, siehe 3.11).

(b) Reporting

Eine Vielzahl von Berichten sind sowohl als Reporting-Dashboards als auch als Rohdaten im Leitstellensysten verfügbar und könnten dort von uns und den angeschlossenen Mandanten (nur für die für sie freigegebenen Daten) eingesehen und heruntergeladen werden. Darüber hinaus erstellen wir bei Bedarf aggregierte Berichte über die Nutzung unserer Dienste für Abrechnungen, interne Business-Intelligence und Planung. Dies umfasst z.B. Statistiken über die Anzahl von Buchungen, Stornierungen und Nutzer-Trends. Ein wichtiger Anwendungsfall ist die Erstellung von Berichten für Fördergeber, Politik und Aufgabenträger, die auf aggregierten Nutzungsdaten basieren, z.B. Anzahl durchgeführter Fahrten pro Monat und Fahrtstrecken. Diese Berichte ermöglichen es uns, unsere Berechtigung für öffentliche Förderung nachzuweisen und unsere Dienste entsprechend zu planen.

Subprozessoren: Snowflake (Reporting, siehe 3.11).

Zu den weiteren Unterauftragsverarbeitern, die uns bei Erfassung und Analyse von Nutzungsdaten unterstützen, gehören Aiven (Datenbankverwaltung, siehe 3.8), AWS (Cloud-Hosting, siehe 3.9), Coralogix (Protokollierung zur Fehlerdiagnose, siehe 3.21) und Cloudflare (Sicherheit und Netzwerkschutz, siehe 3.19). Diese Dienstleister agieren als unsere Auftragsverarbeiter gemäß Art. 28 DSGVO und sind vertraglich an Datenschutz- und Sicherheitsverpflichtungen gebunden.

Wir verarbeiten Ihre Nutzungsdaten für die unten aufgeführten Zwecke auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Die Personalisierung der Dienste, beispielsweise durch Anpassung der App-Erfahrung auf der Grundlage Ihrer typischen Nutzung bestimmter Funktionen, basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO). Wenn die Personalisierung auf nicht essentiellen Tracking- Technologien (wie bestimmten Cookies oder SDKs) beruht oder für marketingbezogene Personalisierungen verwendet wird, stützen wir uns auf Ihre Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Erleichterung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Werbung und Marketingkommunikation: Die Verwendung von Nutzungsdaten für Werbung und Marketingkommunikation (z. B. um Ihnen personalisierte Kampagnen oder In-App-Nachrichten basierend auf Ihrer Nutzung der Dienste zu senden) basiert auf Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO) und, sofern zutreffend, auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO) an der Förderung unserer Dienste, jeweils in Übereinstimmung mit den geltenden Marketing- und E-Privacy- Gesetzen.
Interner Betrieb der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).
Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen: Diese Verarbeitung basiert auf unseren berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO), insbesondere zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen und zur Bearbeitung von Streitigkeiten im Zusammenhang mit Ihrer Nutzung der Dienste.

3.7. Daten mit Zugriff von Mandanten

Sie können Fahrten buchen, die von den angeschlossenen Mandanten innerhalb des VRR-Verkehrsverbunds durchgeführt werden. Die Mandanten haben dann jeweils Zugriff auf diejenigen personenbezogenen Daten, die für die Durchführung der Fahrt, den Betrieb und die Verwaltung der jeweiligen Dienste erforderlich sind. Die Verkehrsunternehmen dürfen nur auf die personenbezogenen Daten zugreifen, die sich auf ihre eigenen Dienstleistungsbereiche beziehen.

Für die Verarbeitung personenbezogener Daten, die erforderlich sind, damit Sie diese Fahrten über die Dienste suchen, buchen und durchführen können, fungieren der VRR und der jeweilige Mandant als gemeinsame Verantwortliche im Sinne von Art. 26 DSGVO und legen gemeinsam die Zwecke und Mittel dieser Verarbeitung fest. Darüber hinaus hat jeders Mandant seine eigenen Geschäftsbedingungen und Datenschutzhinweise und kann Ihre personenbezogenen Daten in eigener Verantwortung verarbeiten (z. B. zur Erfüllung gesetzlicher Verpflichtungen, für interne betriebliche Zwecke oder für die eigene Berichterstattung). Ihre Nutzung des Mandanten unterliegt daher auch den geltenden Bedingungen und den Datenschutzhinweisen des jeweiligen Mandanten. Wir empfehlen Ihnen, die Datenschutzhinweise des Mandanten zu lesen, um zu verstehen, wie Ihre personenbezogenen Daten in diesem Zusammenhang verarbeitet werden.

Einige personenbezogene Daten werden an Unterauftragsverarbeiter oder externe Dienstleister weitergegeben oder direkt von diesen erhoben, wie in den Abschnitten 3.8 bis 3.20 beschrieben. Diese Daten werden in Übereinstimmung mit den unten aufgeführten Zwecken und Rechtsgrundlagen verarbeitet.

3.8. Nutzung der Dienste von Aiven:

Wir nutzen Aiven Oy, Antinkatu 1, FI - 00100 Helsinki, Finnland, für das Hosting relationaler Datenbanken für die operative Backend-Verarbeitung.

3.8.1. Verarbeitete Daten:
Ihre Benutzerkontodaten (wie in Abschnitt 3.1 oben definiert), Standortdaten und Fahrhistorie (wie in Abschnitt 3.4 oben definiert), Gerätedaten (wie in Abschnitt 3.5 oben definiert) und Nutzungsdaten (wie in Abschnitt 3.6 oben definiert).

3.8.2. Zweck der Verarbeitung:
Wir nutzen Aiven, um unsere Systemdaten auf dem neuesten Stand zu halten und die Konsistenz zwischen den auf AWS und Snowflake gehosteten Datenbanken zu gewährleisten. Aiven dient ausschließlich der Synchronisation der Daten mit Snowflake und stellt die sichere, verschlüsselte Übertragung innerhalb unserer Infrastruktur sicher. Dies unterstützt uns dabei, Informationen über die Nutzung der App und die Funktionsweise unserer Dienste zu
speichern und zu organisieren, damit wir die Dienste überwachen und verbessern können.

Die von Aiven zu den unten aufgeführten Zwecken verarbeiteten personenbezogenen Daten, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Erbringung der Dienstleistungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Erleichterung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interner Betrieb der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

3.8.3. Datenübermittlung in Drittländer:
Alle von Aiven verarbeiteten Daten werden innerhalb der Europäischen Union, insbesondere in Irland, gespeichert und verarbeitet.

3.8.4. Weitere Informationen:
Aiven verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO).

Weitere Informationen zu den Datenschutzpraktiken von Aiven finden Sie hier: Datenschutzerklärung von Aiven

3.9. Nutzung von Amazon Web Services (AWS)

Wir nutzen Amazon Web Services EMEA SARL, 38 avenue John F. Kennedy L-
1855 Luxemburg („AWS“) für Cloud-Server und Datenbank-Hosting.

3.9.1. Verarbeitete Daten
Ihre Benutzerkontodaten (wie in Abschnitt 3.1 oben definiert), Standortdaten und Fahrhistorie (wie in Abschnitt 3.4 oben definiert), Gerätedaten (wie in Abschnitt 3.5 oben definiert) und Nutzungsdaten
(wie in Abschnitt 3.6 oben definiert).

3.9.2. Zweck der Verarbeitung

Wir nutzen AWS zum Hosting der Cloud-Infrastruktur für die App und die Backend-Systeme, einschließlich Servern und Datenbanken, um den reibungslosen Betrieb der App und der Dienste sicherzustellen. Dies umfasst die Speicherung, Verwaltung und Aufrechterhaltung der Verfügbarkeit von Daten und Systemen. Die personenbezogenen Daten, die von AWS für die unten aufgeführten Zwecke verarbeitet werden, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1lit. b DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit.f DSGVO).
Erleichterung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interner Betrieb der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

3.9.3. Datenübermittlung in Drittländer:
Alle von AWS verarbeiteten Daten werden innerhalb der Europäischen Union, insbesondere in Irland, gespeichert und verarbeitet.

3.9.4 Weitere Informationen:
AWS verarbeitet Ihre Daten ausschließlich in unserem Auftrag und
gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von AWS finden Sie unter: Datenschutzerklärung von AWS

3.10. Nutzung von AWS Cognito-Diensten

Wir verwenden AWS Cognito zur Benutzerauthentifizierung, insbesondere für die
Registrierung und Anmeldung in der App.

3.10.1. Verarbeitete Daten
Ihre Benutzerkontodaten (wie in Abschnitt 3.1 oben definiert).

3.10.2. Zweck der Verarbeitung
Wir nutzen AWS Cognito, um eine sichere Identifizierung und Verwaltung von Benutzerkonten zu gewährleisten, vor allem während der Registrierung und Anmeldung. Die von AWS Cognito zu den unten aufgeführten Zwecken verarbeiteten personenbezogenen Daten, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Gewährleistung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interner Betrieb der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren rechtlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

3.10.3. Datenübermittlung in Drittländer
Die Daten werden an Server in den USA übertragen. AWS ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet. Darüber hinaus haben wir die Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie zusätzliche Sicherheitsvorkehrungen und Risikobewertungen mit AWS implementiert, um ein angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.

3.10.4. Weitere Informationen
AWS Cognito verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von AWS finden Sie unter: Datenschutzerklärung von AWS

3.11. Nutzung von Snowflake-Diensten

Wir nutzen Snowflake Inc., Bozeman, 106 East Babcock Street, Suite 3A, USA, für die Speicherung und Analyse von Nicht-Echtzeit-App-Daten.

3.11.1. Verarbeitete Daten:
Ihre Benutzerkontodaten und Informationen zu Transaktionen und Zahlungsmethoden (wie in Abschnitt 3.1 oben definiert), Standortdaten und Fahrhistorie (wie in Abschnitt 3.4 oben definiert), Gerätedaten (wie in Abschnitt 3.5 oben definiert) und Nutzungsdaten (wie in Abschnitt 3.6 oben definiert).

3.11.2. Zweck der Verarbeitung
Snowflake wird als Datenbank für die Analyse der Dienste verwendet. Die Verarbeitung dient der Analyse von Nutzungs- und Betriebsdaten, um Auswertungen, Berichte und Optimierungen der Dienste zu ermöglichen. Die personenbezogenen Daten, die von Snowflake für die unten aufgeführten Zwecke verarbeitet werden, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit.f DSGVO).
Erleichterung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interner Betrieb der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

3.11.3. Datenübermittlung in Drittländer
Alle von Snowflake verarbeiteten Daten werden innerhalb der Europäischen Union, insbesondere in Irland, gespeichert und verarbeitet.

3.11.4. Weitere Informationen
Snowflake verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von Snowflake
finden Sie unter: Datenschutzerklärung von Snowflake

3.12. Nutzung von Branch-Diensten

Wir nutzen Branch Metrics Inc., 1975 W. El Camino Real, Suite 102, Mountain View, CA 94040, USA, für die Bereitstellung dynamischer Deep Links.

3.12.1. Verarbeitete Daten
Ihre Benutzerkontodaten (wie in Abschnitt 3.1 oben definiert), GPS- Koordinaten (Breitengrad, Längengrad) und Gerätedaten (wie in Abschnitt 3.5 oben definiert)

3.12.2. Zweck der Verarbeitung
Branch ermöglicht es uns, Deep Links in die App bereitzustellen, beispielsweise bei der Integration mit MaaS-Anwendungen von Drittanbietern oder Marketingkampagnen für die Dienste. Dadurch wird sichergestellt, dass die Benutzer zu den richtigen App-Inhalten weitergeleitet werden. Die von Branch zu den unten aufgeführten Zwecken verarbeiteten personenbezogenen Daten, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 Buchstabe b DSGVO).
Personalisierung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO) und der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Werbung und Marketingkommunikation: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO); Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Marketingmitteilungen und Werbeinhalte werden nur auf Grundlage Ihrer ausdrücklichen Einwilligung versendet (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Marketing-Einwilligung in den Einstellungen der App deaktivieren oder den in der erhaltenen Marketingmitteilung angegebenen Abmeldelink verwenden.

Branch kann auch Informationen mithilfe von Tracking-Technologien wie SDKs erfassen. Diese Erfassung beschränkt sich auf Zwecke, die für die Bereitstellung der Dienste unerlässlich sind (essentielle Zwecke). Essentielle Tracking-Technologien können nicht deaktiviert werden. Die Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, d. h. die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.

3.12.3. Datenübermittlung in Drittländer
Die Daten werden an Server in den USA übertragen. Branch ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet. Darüber hinaus haben wir die Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie zusätzliche Sicherheitsvorkehrungen und Risikobewertungen mit Branch implementiert, um ein angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.

3.12.4. Weitere Informationen
Branch verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von Branch finden Sie unter: Datenschutzerklärung von Branch

3.13. Nutzung der Dienste von Braze

Wir nutzen Braze, Inc., 63 Madison Avenue, 12th Floor, New York, NY 10016, USA, als Kundenbindungsplattform, um operative und marketingbezogene Mitteilungen zu versenden.

3.13.1. Verarbeitete Daten
Ihre Benutzerkontodaten (wie in Abschnitt 3.1 oben definiert), GPS- Koordinaten (Breitengrad, Längengrad), App-Ereignisse (Buchung, Stornierung, Präferenzen usw.), Gerätedaten (wie in Abschnitt 3.5 oben definiert).

3.13.2. Zweck der Verarbeitung
Braze wird zum Versenden von Betriebsmeldungen (z. B. „Ihr Fahrzeug ist da“) sowie von Marketingmitteilungen verwendet. Diese können innerhalb der App, als Push-Benachrichtigungen
oder per E-Mail versendet werden. Die von Braze zu den unten aufgeführten Zwecken verarbeiteten
personenbezogenen Daten, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO).
Personalisierung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit.f DSGVO) und Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Werbung und Marketingkommunikation: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO); Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Marketingmitteilungen und Werbeinhalte werden nur auf Grundlage Ihrer ausdrücklichen Einwilligung versendet (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie das Marketing-Opt-in in den Einstellungen der App deaktivieren oder den in der erhaltenen Marketingmitteilung enthaltenen Abmeldelink verwenden.

Braze kann auch Informationen mithilfe von Tracking-Technologien wie SDKs erfassen. Diese Erfassung beschränkt sich auf Zwecke, die für die Bereitstellung der Dienste unerlässlich sind (Essentielle Zwecke). Essentielle Tracking-Technologien können nicht deaktiviert werden. Die Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, d. h. die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.

3.13.3. Datenübermittlung in Drittländer
Alle von Braze verarbeiteten Daten werden innerhalb Deutschlands gespeichert und verarbeitet.

3.13.4. Weitere Informationen
Braze verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von Braze finden Sie unter: Datenschutzerklärung von Braze

3.14. Nutzung von Google Maps-Diensten

Diese App nutzt den Kartendienst Google Maps, der von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“) bereitgestellt wird. Für Nutzer mit Wohnsitz im Europäischen Wirtschaftsraum (EWR) und in der Schweiz fungiert Google Ireland Limited als Datenverantwortlicher für die Verarbeitung personenbezogener Daten um Karten- und Standorten bereitzustellen. Bei bestimmten Funktionen kann es zur Übertragung personenbezogener Daten an Server der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA kommen.

3.14.1. Verarbeitete Daten
Wenn Sie Google Maps innerhalb dieser App verwenden, werden die folgenden Kategorien personenbezogener Daten automatisch erfasst und an die Server von Google übertragen: Geräte- und Anforderungsmetadaten: IP-Adresse, Gerätetyp, Betriebssystem, eindeutige Gerätekennungen (z. B. Android Advertising ID), Browsertyp und -version. Standortdaten: GPS-Koordinaten, Längen- und Breitengraddaten, Informationen zur Standortgenauigkeit Daten zur Karteninteraktion: Suchanfragen, Zoomstufe, Kartenbewegungen (Verschieben), ausgewählte Routen, angeklickte Markierungen und andere Benutzerinteraktionen mit der Kartenschnittstelle Nutzungsdaten: Uhrzeit und Datum des Zugriffs, Nutzungsdauer, Absturzberichte und Diagnoseinformationen.

3.14.2. Zweck der Verarbeitung:
Google Maps wird verwendet, um Karten- und Standortinformationen bereitzustellen, Benutzern die Navigation im Dienst zu erleichtern und relevante Orte und Adressen zu finden, die Dienstqualität zu verbessern und die Sicherheit der Infrastruktur zu gewährleisten. Google kann die verarbeiteten Daten auch für eigene Zwecke verwenden, einschließlich personalisierter Werbung und Produktentwicklung. Die Nutzung von Google Maps basiert auf Ihrer ausdrücklichen Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die funktionale Opt-in-Funktion in den Einstellungen der App deaktivieren. Dies kann zu Einschränkungen bei der Nutzung der App führen. Der Widerruf der Einwilligung hat keinen Einfluss auf die Rechtmäßigkeit der Verarbeitung auf der Grundlage der Einwilligung vor deren Widerruf.

3.14.3. Datenübermittlung in Drittländer:
Daten können an Server in die USA übertragen werden. Google LLC ist nach dem EU-US-DPF zertifiziert, für den die Europäische Kommission eine Angemessenheitsentscheidung gemäß Art. 45 DSGVO getroffen hat. Dies bedeutet, dass für zertifizierte Organisationen wie Google LLC ein angemessenes Datenschutzniveau vorausgesetzt wird.

3.14.4. Weitere Informationen:
Weitere Informationen zu den Datenschutzpraktiken von Google finden Sie unter: Google Controller Terms.

3.15. Nutzung der Dienste von LeanPlum

Wir nutzen Leanplum Inc., 1550 Bryant Street Suite 545, San Francisco, CA 94103, USA, für digitales Marketing.

3.15.1. Verarbeitete Daten:
Ihre Benutzerkontodaten (wie in Abschnitt 3.1 oben definiert), App- Ereignisse (Buchung, Stornierung, Präferenzen usw.), GPS- Koordinaten (Breitengrad, Längengrad), Gerätedaten (wie in Abschnitt 3.5 oben definiert) und Nutzungsdaten (wie in Abschnitt 3.6 oben definiert).

3.15.2. Zweck der Verarbeitung:
LeanPlum wird verwendet, um personalisierte Nachrichten zu übermitteln und Kampagnen innerhalb der App und per E-Mail zu verwalten. Auf diese Weise können wir Ihnen wichtige Benachrichtigungen und Aktualisierungen (z. B. „Ihr Fahrzeug ist da“) sowie Marketingnachrichten zusenden.
Die personenbezogenen Daten, die von LeanPlum für die unten aufgeführten Zwecke verarbeitet werden, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO).
Personalisierung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit.f DSGVO) und der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Werbung und Marketingkommunikation: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO); Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Marketingmitteilungen und Werbeinhalte werden nur auf Grundlage Ihrer ausdrücklichen Einwilligung versendet (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie das Marketing-Opt-in in den Einstellungen der App deaktivieren oder den in der erhaltenen Marketingmitteilung angegebenen Abmeldelink verwenden.

LeanPlum kann auch Informationen mithilfe von Tracking- Technologien wie SDKs erfassen. Diese Erfassung beschränkt sich auf Zwecke, die für die Bereitstellung der Dienste unerlässlich sind (Essentielle Zwecke). Essentielle Tracking-Technologien können nicht deaktiviert werden. Die Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, d. h. die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.

3.15.3. Datenübermittlung in Drittländer
Die Daten werden an Server in die USA übertragen. LeanPlum (jetzt Teil von CleverTap) ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet. Darüber hinaus haben wir die Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie zusätzliche Sicherheitsvorkehrungen und Risikobewertungen mit LeanPlum implementiert, um ein angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.

3.15.4. Weitere Informationen
LeanPlum verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von LeanPlum finden Sie unter:
Datenschutzerklärung von LeanPlum

3.16. Verwendung von Mailchimp

Wir nutzen Mailchimp, The Rocket Science Group LLC, 675 Ponce De Leon Ave NE Suite 5000, Atlanta, GA 30308, USA, für Transaktions- und Marketing-E-Mails.

3.16.1. Verarbeitete Daten
Ihr vollständiger Name und Ihre E-Mail-Adresse, Abhol- und Zieladresse sowie Zeitstempel der Fahrt (Abholung, Ziel, Stornierung, Nichterscheinen).

3.16.2. Zweck der Verarbeitung
Mailchimp wird verwendet, um Ihnen Transaktions-E-Mails im Zusammenhang mit Ihren Fahrten zu senden, z. B. Fahrtbelege nach Abschluss einer Fahrt. Die von Mailchimp zu den unten aufgeführten Zwecken verarbeiteten personenbezogenen Daten, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Erbringung der Dienstleistungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO).
Personalisierung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit.f DSGVO) und Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

3.16.3. Datenübermittlung in Drittländer
Die Daten werden an Server in die USA übertragen. Mailchimp (jetzt Teil von Intuit) ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet. Darüber hinaus haben wir die Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie zusätzliche Sicherheitsvorkehrungen und Risikobewertungen mit Mailchimp implementiert, um ein angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.

3.16.4. Weitere Informationen
Mailchimp verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von Mailchimp finden Sie unter:
Datenschutzerklärung von Mailchimp

3.17. Nutzung von mParticle

Wir nutzen mParticle Inc., 99 Wall Street, Suite 630 New York, NY 10005, USA, als Kundendatenplattform.

3.17.1. Verarbeitete Daten
Ihre Benutzerkontodaten (wie in Abschnitt 3.1 oben definiert), Ihre Gerätedaten (wie in Abschnitt 3.5 oben definiert), Ihre IP-Adresse, GPS-Koordinaten (Breitengrad, Längengrad) und App-Ereignisse (Buchung, Stornierung, Präferenzen usw.).

3.17.2. Zweck der Verarbeitung
mParticle wird verwendet, um Nutzungsdaten aus der App zu sammeln, zu verarbeiten und zu organisieren, damit wir die Dienste bereitstellen und verbessern können. Die personenbezogenen Daten, die von mParticle für die unten aufgeführten Zwecke verarbeitet werden, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Personalisierung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit.f DSGVO) und der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO). Gewährleistung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interne Abläufe der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage der Einhaltung gesetzlicher Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO); berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Werbung und Marketingkommunikation: Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO); Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Marketingmitteilungen und Werbeinhalte werden nur auf Grundlage Ihrer ausdrücklichen Einwilligung versendet (Art. 6 Abs. 1 lit. a DSGVO). Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Marketing-Einwilligung in den Einstellungen der App deaktivieren oder den in der erhaltenen Marketingmitteilung angegebenen Abmeldelink verwenden.

mParticle kann auch Informationen über Tracking-Technologien wie SDKs erfassen. Diese Erfassung basiert auf verschiedenen Arten von Ereignissen: Essentielle Verarbeitung: Essentielle Ereignisse ermöglichen es uns, die korrekte Funktionsweise der App sicherzustellen. Beispielsweise, dass die beabsichtigte Aktion tatsächlich ausgeführt wird, wenn eine Schaltfläche gedrückt wird. Soweit mParticle für essentielle Verarbeitungen verwendet wird, kann es nicht deaktiviert werden. Die Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, d. h. die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich. Funktionale Verarbeitung: mParticle wird verwendet, um Nutzungsdaten aus der App zu sammeln, zu verarbeiten und zu organisieren, damit wir die Dienste, die Funktionalität und die Personalisierung verbessern können. Verarbeitung zur Marketing-Analyse: mParticle unterstützt die personalisierte Kommunikation mit Ihnen, sofern Sie die erforderliche Einwilligung erteilt haben. Nicht essentielle Verarbeitungen (funktional oder zur Marketing-Analyse) erfolgen auf Grundlage Ihrer ausdrücklichen Einwilligung. Sie können Ihre Einwilligung jederzeit mit Wirkung für die Zukunft widerrufen oder ändern, beispielsweise in Ihrem App-Konto unter „Privatsphäre-Einstellungen”.

3.17.3. Datenübermittlung in Drittländer
Alle von mParticle verarbeiteten Daten werden innerhalb Deutschlands gespeichert und verarbeitet.

3.17.4. Weitere Informationen
mParticle verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von mParticle finden Sie unter:
Datenschutzerklärung von mParticle

3.18. Verwendung von reCAPTCHA Enterprise

Wir nutzen die Dienste von reCAPTCHA Enterprise, angeboten von Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland („Google“). Für Nutzer mit Wohnsitz im Europäischen Wirtschaftsraum (EWR) und in der Schweiz fungiert Google Ireland Limited als Datenverantwortlicher für die 32 Verarbeitung personenbezogener Daten. Bei bestimmten Funktionen kann es zur Übertragung personenbezogener Daten an Server der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA kommen.

3.18.1. Verarbeitete Daten
Ihre Gerätedaten (wie in Abschnitt 3.5 oben definiert) und Nutzungsdaten (wie in Abschnitt 3.6 oben definiert). reCAPTCHA kann auch Daten zum Benutzerverhalten und zur Interaktion verarbeiten: Mausbewegungen, Tastenanschlagmuster, Klickverhalten, Verweildauer auf der Seite, Scrollaktivität,
Formularinteraktionsmuster.

3.18.2. Zweck der Verarbeitung
Wir integrieren Google reCAPTCHA, um unsere Website und Anwendungen vor automatisiertem Missbrauch, Spam und betrügerischen Aktivitäten zu schützen. Der Dienst hilft uns, legitime Benutzerinteraktionen von botgenerierten Anfragen zu unterscheiden und so die Sicherheit und Integrität unserer Dienste zu gewährleisten. Wir verwenden reCAPTCHA v3: Es arbeitet unsichtbar im Hintergrund, ohne dass eine Interaktion des Nutzers erforderlich ist. Es analysiert Ihre Verhaltensmuster und weist Ihnen eine Risikobewertung (zwischen 0,0 und 1,0) zu, um die
Wahrscheinlichkeit zu bestimmen, dass Sie ein legitimer Nutzer oder ein Bot sind. Die von Google reCAPTCHA verarbeiteten personenbezogenen Daten dienen der Gewährleistung von Sicherheit und
Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO). Die von reCAPTCHA gesammelten Daten werden ausschließlich zur Bereitstellung, Wartung und Gewährleistung der fortdauernden Wirksamkeit von Anti-Missbrauchs-Diensten verwendet und ausdrücklich nicht für andere Zwecke (wie personalisierte Werbung) genutzt. Google reCAPTCHA kann auch Informationen durch Tracking- Technologien wie Cookies oder SDKs erfassen. Diese Erfassung ist auf Zwecke beschränkt, die für die Bereitstellung der Dienste unerlässlich sind (Essentielle Zwecke). Essentielle Tracking-Technologien können nicht deaktiviert werden. Die Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, d. h. die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.

3.18.3. Datenübermittlung in Drittländer
Die Daten werden an Server in die USA übertragen. Google LLC ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet.

3.18.4. Speicherdauer
Die von reCAPTCHA erfassten Daten werden an mehreren Orten gespeichert: sowohl auf dem Client selbst als auch auf den Servern von Google. Wenn möglich, handelt es sich bei den auf den Servern von Google gespeicherten Daten entweder um Hashes oder um verschleierte/aggregierte Versionen. Diese Duplizierung ermöglicht es dem reCAPTCHA-Dienst, Fälle von Manipulation oder Löschung zu identifizieren, die oft auf missbräuchliches Verhalten hindeuten.

3.18.5. Weitere Informationen
Google verarbeitet Ihre Daten im Rahmen von reCAPTCHA in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO): https://cloud.google.com/terms/data-processing-
addendum - https://cloud.google.com/blog/products/identity-security/recaptcha-
enterprise-and-the-importance-of-gdpr-compliance

3.19. Nutzung von Cloudflare-Diensten

Wir nutzen Cloudflare Inc., 101 Townsend Street, San Francisco, CA 94107, USA, für cloudbasierte Sicherheit.

3.19.1. Verarbeitete Daten
Ihre Benutzerkontodaten und Transaktions- und Zahlungsmethodeninformationen (wie in Abschnitt 3.1 oben definiert), Kontaktdaten (wie in Abschnitt 3.3 definiert), Standortdaten und Fahrhistorie (wie in Abschnitt 3.4 oben definiert), Gerätedaten (wie in Abschnitt 3.5 oben definiert), Nutzungsdaten (wie in Abschnitt 3.6 oben definiert).

3.19.2. Zweck der Verarbeitung
Cloudflare wird verwendet, um unsere Endpunkte vor unbefugtem Zugriff, Angriffen und anderen Sicherheitsrisiken zu schützen. Die von Cloudflare verarbeiteten personenbezogenen Daten dienen der Gewährleistung von Sicherheit und Betrugsprävention. Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

3.19.3. Datenübermittlung in Drittländer
Alle von Cloudflare verarbeiteten Daten werden innerhalb Deutschlands gespeichert und verarbeitet.

3.19.4. Weitere Informationen
Cloudflare verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von Cloudflare finden Sie unter: Cloudflare Datenschutzerklärung

3.20. Nutzung von Twilio-Diensten

Wir nutzen Twilio Inc., 101 Spear St FL 5, San Francisco, CA 94105, USA,
zum Versenden von Textnachrichten und Anrufen.

3.20.1. Verarbeitete Daten
Ihr vollständiger Name und Ihre Telefonnummer.

3.20.2. Zweck der Verarbeitung
Twilio wird verwendet, um Ihnen Textnachrichten und Anrufe zu senden. Dazu gehören Mitteilungen, die für die Bereitstellung der Dienste unerlässlich sind, wie beispielsweise Nachrichten zur Überprüfung Ihrer Telefonnummer während der Registrierung. Twilio wird nicht zum Versenden von Marketingmitteilungen verwendet. Die von Twilio zu den unten aufgeführten Zwecken verarbeiteten personenbezogenen Daten, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 Buchstabe b DSGVO).
Personalisierung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit.f DSGVO) und der Einwilligung (Art. 6 Abs. 1 lit. a DSGVO).
Bereitstellung und Verbesserung des Kundensupports: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) und berechtigten Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Erleichterung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Einhaltung von Vorschriften oder rechtmäßigen Anfragen: Diese Verarbeitung basiert auf unseren gesetzlichen Verpflichtungen (Art. 6 Abs. 1 lit. c DSGVO).

3.20.3. Datenübermittlung in Drittländer
Die Daten werden an Server in die USA übertragen. Twilio ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet. Darüber hinaus haben wir die Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie zusätzliche Sicherheitsvorkehrungen und Risikobewertungen mit Twilio implementiert, um ein angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.

3.20.4. Weitere Informationen
Twilio verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von Twilio finden Sie unter:
Datenschutzerklärung von Twilio

3.21 Nutzung der Dienste von Coralogix

Wir nutzen Coralogix Ltd., 156 Menachem Begin Rd., Tel Aviv, Israel, zur Speicherung und zum Abfrage von Anwendungsprotokollen für die Performance- und Fehleranalyse.

3.21.1. Verarbeitete Daten
Dazu gehören Ihre Gerätedaten (wie oben in Abschnitt 3.5 definiert), wie z. B. Geräte-ID, Gerätename, Gerätemodell, Gerätehersteller, Name und Version des Betriebssystems sowie Sprache des Betriebssystems, sowie Anwendungsprotokolle (z. B. Protokolle, die App-Ereignisse wie Buchungen, Stornierungen oder Präferenzen erfassen).

3.21.2 Zweck der Verarbeitung
Wir verwenden Coralogix während der App Interaktionen als Überwachungstool für unsere Entwicklungs- und Produktionsumgebungen. Coralogix unterstützt uns bei der Untersuchung von Code, der Erkennung und Meldung von Anomalien sowie der Aufrechterhaltung der Sicherheit unserer Systeme. Die personenbezogenen Daten, die von Coralogix für die unten aufgeführten Zwecke verarbeitet werden, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interner Betrieb der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Gewährleistung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f
DSGVO).

Coralogix kann auch Informationen mithilfe von Tracking-Technologien wie SDKs erfassen. Diese Erfassung beschränkt sich auf Zwecke, die für die Bereitstellung der Dienste unerlässlich sind (wesentliche Zwecke). Wesentliche Tracking-Technologien können nicht deaktiviert werden. Die
Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, d. h. die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.

3.21.3 Datenübermittlung in Drittländer
Alle von Coralogix verarbeiteten Daten werden innerhalb der Europäischen Union gespeichert und verarbeitet, insbesondere in Irland.

3.21.4 Weitere Informationen
Coralogix verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen.
Weitere Informationen zu den Datenschutzpraktiken von Coralogix finden Sie unter: Öffentliche Datenschutzerklärung von Coralogix

3.22 Nutzung von Stripe

Wir nutzen Stripe Technology Europe, Limited, 1 Grand Canal Street Lower, Grand Canal Dock, Dublin, Irland, zur Abwicklung von Zahlungen.

3.22.1. Verarbeitete Daten
Transaktions- und Zahlungsmethodeninformationen (wie in Abschnitt 3.2 (2) definiert), einschließlich
Zahlungsmittelinformationen, Gerätedaten und Zahlungsbeträge.

3.22.2 Zweck der Verarbeitung
Stripe wird verwendet, um Zahlungen für unsere Dienste abzuwickeln, Zahlungstransaktionen zu verarbeiten und Betrugsprävention durchzuführen. Die von Stripe verarbeiteten personenbezogenen Daten dienen der sicheren und zuverlässigen Durchführung von Zahlungen sowie der Erkennung und Verhinderung betrügerischer Transaktionen. Rechtsgrundlagen: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO): Die Verarbeitung durch Stripe ist erforderlich zur Abwicklung des Vertrags mit Ihnen, einschließlich der Zahlungsabwicklung für die von Ihnen genutzten Transportdienstleistungen.

Berechtigte Interessen (Art. 6 Abs. 1 lit. f DSGVO): Die Verarbeitung dient der Betrugsprävention und der Sicherstellung sicherer Zahlungsprozesse. Unsere berechtigten Interessen bestehen darin, sowohl unsere als auch Ihre Interessen vor betrügerischen Transaktionen zu schützen.

3.22.3 Datenübermittlung in Drittländer
Stripe Technology Europe, Limited hat seinen Sitz in Irland (EU). Die Datenverarbeitung erfolgt primär innerhalb des EuropäischenWirtschaftsraums. Im Rahmen der technischen Infrastruktur können Daten an verbundene Stripe-Unternehmen außerhalb des EWR übermittelt werden. In diesen Fällen haben wir Standardvertragsklauseln (SCCs) der Europäischen Kommission sowie zusätzliche Sicherheitsvorkehrungen implementiert, um ein angemessenes Schutzniveau für Ihre personenbezogenen Daten zu gewährleisten.

3.22.4 Weitere Informationen
Stripe verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen (Art. 28 DSGVO). Weitere Informationen zu den Datenschutzpraktiken von Stripe finden Sie unter: Stripe Datenschutzerklärung

3.23. Nutzung der Dienste von Firebase Crashlytics

Wir nutzen Crashlytics, Firebase zur Analyse und Berichterstattung von App- Abstürzen, die von der Google Ireland Limited, Gordon House, Barrow Street, Dublin 4, Irland betrieben wird. Bei bestimmten Funktionen kann es zur Übertragung personenbezogener Daten an Server der Google LLC, 1600 Amphitheatre Parkway, Mountain View, CA 94043, USA kommen (nur relevant für Android-Apps).

3.23.1 Verarbeitete Daten
Dazu gehören Ihre Gerätedaten (wie oben in Abschnitt 3.5 definiert). Dazu zählen insbesondere die Geräte-ID, der Gerätename, der Hersteller und das Modell des Geräts, der Name und die Version des Betriebssystems sowie die eingestellte Betriebssystemsprache.

3.23.2 Zweck der Verarbeitung
Firebase Crashlytics wird für die plattformübergreifende Erfassung und Analyse von App-Abstürzen in Echtzeit verwendet. Dadurch können Stabilitätsprobleme identifiziert, priorisiert und behoben werden, um die Qualität der App sicherzustellen. Im Falle eines App- Absturzes wird eine Protokolldatei erstellt und gespeichert. Die von Firebase Crashlytics zu den unten aufgeführten Zwecken verarbeiteten personenbezogenen Daten, auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interner Betrieb der Dienste, Überwachung und Aufbewahrung von Aufzeichnungen: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Förderung von Sicherheit und Betrugsprävention: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Firebase Crashlytics kann auch Informationen mithilfe von Tracking-Technologien wie SDKs erfassen. Diese Erfassung ist auf Zwecke beschränkt, die für die Bereitstellung der Dienste unerlässlich sind (wesentliche Zwecke). Wesentliche Tracking-Technologien können nicht deaktiviert werden. Die Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, d. h. die Verarbeitung ist für die Erfüllung eines Vertrags erforderlich.

3.23.3 Datenübermittlung in Drittländer
Die Daten werden an Server in die USA übertragen. Google LLC ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet.

3.23.4 Weitere Informationen
Weitere Informationen zu den Datenschutzpraktiken von Firebase Crashlytics finden Sie unter:
Öffentliche Datenschutzerklärung von Google
Datenschutz und Sicherheit in Firebase

3.24. Nutzung der Dienste von Sentry

Wir nutzen Functional Software, Inc. (Sentry), 45 Fremont St, 8th Floor, San Francisco, CA 94105, Vereinigte Staaten, für die Echtzeit-Fehlerverfolgung und Absturzberichterstattung in der App (nur relevant für iOS-Apps).

3.24.1. Verarbeitete Daten
Dazu gehören Ihre Gerätedaten (wie oben in Abschnitt 3.5 definiert), wie z. B. Geräte-ID, Gerätename, Gerätemodell, Gerätehersteller, Name und Version des Betriebssystems sowie Sprache des Betriebssystems, aber auch Anwendungsprotokolle (z. B. Protokolle, die App-Ereignisse wie Buchungen, Stornierungen oder Einstellungen erfassen).

3.24.2 Zweck der Verarbeitung
Wir verwenden Sentry, um die technische Stabilität und Leistung der App in Echtzeit zu überwachen. Die Verarbeitung dient dazu, Anwendungsfehler und Abstürze aufzuzeichnen, zu analysieren und zu kategorisieren, um Softwarefehler, Leistungsprobleme und Stabilitätsrisiken zu identifizieren, zu bewerten und zu beseitigen. Ziel ist es, eine hohe Verfügbarkeit, Funktionalität und Qualität der
App und der Dienste sicherzustellen. Die personenbezogenen Daten, die von Sentry für die unten aufgeführten Zwecke verarbeitet werden, basieren auf der für jeden Zweck angegebenen Rechtsgrundlage:

Bereitstellung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage der Erfüllung eines Vertrags (Art. 6 Abs. 1 lit. b DSGVO).
Verbesserung der Dienste: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).
Interner Betrieb der Dienste, Überwachung und Aufzeichnung: Diese Verarbeitung basiert auf der Rechtsgrundlage berechtigter Interessen (Art. 6 Abs. 1 lit. f DSGVO).

Sentry kann auch Informationen mithilfe von Tracking-Technologien wie SDKs erfassen. Diese Erfassung ist auf Zwecke beschränkt, die für die Bereitstellung der Dienste unerlässlich sind (wesentliche Zwecke). Wesentliche Tracking-Technologien können nicht deaktiviert werden. Die Rechtsgrundlage für diese Verarbeitung ist § 25 Abs. 2 TDDDG und Art. 6 Abs. 1 lit. b DSGVO, was bedeutet, dass die Verarbeitung für die Erfüllung eines Vertrags erforderlich ist.

3.24.3. Datenübermittlung in Drittländer
Die Daten werden an Server in den USA übertragen. Sentry ist gemäß dem EU-US-DPF zertifiziert, der ein angemessenes Datenschutzniveau gewährleistet.

3.24.4.Weitere Informationen
Sentry verarbeitet Ihre Daten ausschließlich in unserem Auftrag und gemäß unseren Anweisungen.
Weitere Informationen zu den Datenschutzpraktiken von Sentry finden Sie unter: Öffentliche Datenschutzerklärung von Sentry

4. Sind Sie verpflichtet, personenbezogene Daten anzugeben?

Ja. Wenn Sie die App nutzen, werden bestimmte Daten automatisch erfasst und sind für die Bereitstellung der Dienste erforderlich: Benutzerkonto/Kontodaten (siehe Abschnitt 3.1): Name, Telefonnummer, Zahlungsinformationen Gerätedaten (siehe Abschnitt 3.5): Geräte-ID, Betriebssystem, App-Version, IP-Adresse – werden automatisch von Ihrem Gerät übertragen Standortdaten (siehe Abschnitt 3.4): GPS-Koordinaten, Abhol- und Zieladressen, die Sie bei der Buchung eingeben oder über die GPS-Funktion erfasst werden Nutzungsdaten (siehe Abschnitt 3.6): Buchungen, Stornierungen, Fahrtdetails werden automatisch erfasst Im Übrigen ist es Ihnen überlassen, welche Daten Sie uns gegenüber angeben oder bei Verwendung der App mit uns teilen. Diese Daten sind für den ordnungsgemäßen Betrieb der App erforderlich, einschließlich der korrekten Anzeige von Inhalten, der Aktivierung von Kernfunktionen und der Gewährleistung der Sicherheit und Stabilität der Dienste.

5. Wie lange speichern wir Ihre personenbezogenen Daten?

a. Personenbezogene Daten, die zur Durchführung einer Fahrt erforderlich sind – insbesondere Ihr Name, Ihre Telefonnummer, angefragte und bestätigte Abhol- und Zielzeiten, Abhol- und Zielorte (Adresse sowie Längen- und Breitengrad) sowie zugehörige Zeitstempel – werden nur so lange gespeichert, wie dies für die operative Abwicklung, die Gewährleistung der Nachvollziehbarkeit sowie zur Erfüllung gesetzlicher Pflichten erforderlich ist. Nach Ablauf von 13 Monaten werden diese Daten anonymisiert, sodass kein Personenbezug mehr herstellbar ist.

b. Darüber hinaus werden in regelmäßigen Intervallen alle Benutzerkonten gelöscht, die länger als 13 Monate keine Aktivität aufweisen. Als „Aktivität“ gilt mindestens eine aktive App-Session innerhalb dieses Zeitraums. Mit der Löschung des Nutzerkontos werden sämtliche von Ihnen bereitgestellten personenbezogenen Daten vollständig entfernt. Alle dem Fahrgast zugeordneten Fahrtdaten (s. Punkt a) werden ebenfalls gelöscht oder in anonymisierter Form weitergeführt, sofern sie nicht länger zur Vertragserfüllung, zur Abrechnung oder aufgrund gesetzlicher Aufbewahrungspflichten benötigt werden.

c. Die Anonymisierung erfolgt durch einen automatisierten Prozess. Zur Aggregation von Ortsdaten verwenden wir ein hexagonales Gittersystem, das Geodaten in räumliche Cluster zusammenfasst. Um auch in dünn besiedelten Gebieten die Anonymität der betroffenen Personen zu gewährleisten, werden die Größe der verwendeten geographischen Zellen dynamisch an die lokale Besiedlungsdichte angepasst. Dadurch stellen wir sicher, dass datenschutzrechtliche Anforderungen, insbesondere im Hinblick auf die Nichtidentifizierbarkeit einzelner Personen, jederzeit eingehalten werden. Nach der Anonymisierung sind diese Daten vollständig von allen personenbezogenen Informationen getrennt und können nicht mehr auf eine identifizierte oder identifizierbare Person zurückgeführt werden. Diese anonymisierten Daten unterliegen nicht mehr dem Datenschutzrecht und werden für statistische Analysen und historische Aufzeichnungen verwendet. Wir bewahren im Übrigen Ihre personenbezogenen Daten nur so lange auf, wie es zur Erfüllung der oben beschriebenen Zwecke erforderlich ist oder wie es zur Erfüllung unserer gesetzlichen Verpflichtungen erforderlich ist. Insbesondere unterliegen wir den Aufbewahrungs- und Dokumentationspflichten des deutschen Handels- und Steuerrechts, einschließlich des Handelsgesetzbuches (HGB) und der Abgabenordnung (AO), die eine Aufbewahrung von bis zu zehn Jahren vorschreiben können. Schließlich beurteilt sich die Speicherdauer auch nach den gesetzlichen Verjährungsfristen, wobei die regelmäßige Verjährungsfrist drei Jahre beträgt (siehe §§ 195 ff. des Bürgerlichen Gesetzbuches (BGB)).

Wenn Sie die Löschung Ihres Kontos beantragen, werden wir Ihre Daten gemäß den Angaben im Abschnitt „Ihre Rechte” löschen.

6. An wen geben wir Ihre personenbezogenen Daten weiter?

Bei der Erbringung der Dienste können wir Ihre personenbezogenen Daten an die folgenden Kategorien von Empfängern weitergeben:

6.1.
Dienstleister, die in unserem Auftrag handeln (siehe 3.8 bis 3.13 und 3.15 bis 3.24: Wir setzen externe Dienstleister ein, die Daten streng nach unseren 43 Anweisungen und auf der Grundlage von Datenverarbeitungsvereinbarungen gemäß Artikel 28 DSGVO verarbeiten. Dazu gehören:

Technische Dienstleister, die den Betrieb, das Hosting, die Sicherheit und die Wartung der IT-Systeme und der Backend-Infrastruktur unterstützen, auf denen die Dienste basieren.
Kundensupport- und Kommunikationsdienstleister, die zur Verwaltung von Benutzeranfragen und Benachrichtigungen eingesetzt werden.
Analytik- und Leistungsdienstleister, die uns dabei unterstützen, die Nutzung der App zu verstehen und die Systemfunktionalität zu optimieren.
Marketing- und Tracking-Anbieter für unsere Werbeaktivitäten, sofern erforderlich, auf Grundlage Ihrer Einwilligung.

6.2.
Verkehrsunternehmen (Abschnitt 3.7), die die Transportdienstleistungen erbringen: Um Ihre Fahrtanfrage zu erfüllen und die Transportdienstleistungen zu erbringen, werden bestimmte personenbezogene Daten an die Verkehrsunternehmen weitergegeben, die die Fahrten durchführen.

6.3.
Wir geben Ihre Daten auch an andere Dritte weiter, die Ihre Daten in eigener Verantwortung verarbeiten. Dazu gehören Unternehmen der folgenden Kategorien: Behörden oder andere staatliche Institutionen, soweit wir gesetzlich dazu verpflichtet sind, sowie Google Maps, wie in Abschnitt 3.14 beschrieben.

7. Werden Ihre personenbezogenen Daten an Empfänger in einem Drittland übermittelt?

Wir verarbeiten personenbezogene Daten grundsätzlich überwiegend innerhalb des EWR. Soweit dies für die oben genannten Zwecke erforderlich ist, können wir Ihre personenbezogenen Daten auch an Empfänger außerhalb des Europäischen Wirtschaftsraums (EWR) übermitteln. Wenn wir Ihre personenbezogenen Daten außerhalb des EWR übermitteln, stellen wir sicher, dass personenbezogene Daten nur dann in Drittländer übermittelt werden, wenn hierfür eine Rechtsgrundlage besteht. Das bedeutet, dass wir Ihre personenbezogenen Daten nur dann übermitteln, wenn die EU-Kommission eine Entscheidung über ein angemessenes Datenschutzniveau für das jeweilige Drittland getroffen hat (Art. 45 DSGVO) oder geeignete Garantien für den Schutz Ihrer personenbezogenen Daten gegeben wurden (vgl. Art. 46 DSGVO). Ihre personenbezogenen Daten können an Dienstleister mit Sitz in einem Drittland übertragen werden. Während Ihre Daten in erster Linie auf Servern innerhalb der EU/des EWR gespeichert werden, ist es möglich, dass einige Informationen ein Drittland (z.B. in die USA) übertragen werden. In diesen Fällen haben wir und unsere Dienstleister Maßnahmen getroffen, um ein angemessenes Schutzniveau zu gewährleisten, darunter Standardvertragsklauseln und zusätzliche technische, organisatorische und vertragliche Sicherheitsvorkehrungen.

8. Ihre Rechte

Jede betroffene Person hat das Recht auf Auskunft gemäß Art. 15 DSGVO, das Recht auf Berichtigung gemäß Art. 16 DSGVO, das Recht auf Löschung gemäß Art. 17 DSGVO, das Recht auf Einschränkung der Verarbeitung gemäß Art. 18 DSGVO und das Recht auf Datenübertragbarkeit gemäß Art. 20 DSGVO. Wenn wir Ihre personenbezogenen Daten auf Grundlage Ihrer Einwilligung verarbeiten, können Sie diese Einwilligung jederzeit ohne formelle Anforderungen mit Wirkung für die Zukunft widerrufen. Die Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt. Soweit Ihre personenbezogenen Daten zur Wahrung unserer berechtigten Interessen gemäß Art. 6 Abs. 1 lit. f DSGVO verarbeitet werden, können Sie dieser Verarbeitung gemäß den gesetzlichen Bestimmungen in Art. 21 DSGVO widersprechen. Wenn Sie Widerspruch einlegen, werden wir Ihre Daten nicht mehr verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen. Zur Ausübung der vorgenannten Rechte wenden Sie sich bitte an die in Abschnitt 2 genannten Stellen. Darüber hinaus haben Sie das Recht, eine Beschwerde bei einer Datenschutzaufsichtsbehörde (Art. 77 DSGVO), wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen nicht rechtmäßig ist. Das Recht auf Beschwerde bleibt unberührt von sonstigen Verwaltungs- oder Rechtsbehelfe. Die Adresse der Datenschutzaufsichtsbehörde lautet:

Die für uns zuständige Behörde ist:

Landesbeauftragte für Datenschutz und Informationsfreiheit NRW, Kavalleriestr. 2-4, 40213 Düsseldorf, Deutschland, Tel.: Informationsfreiheit NRW, Kavalleriestraße 2-4, 40213 Düsseldorf, Deutschland, Telefon: 0211/38424-0, Fax: 0211/38424-10, E-Mail: poststelle@ldi.nrw.de

9. Inwieweit findet in Einzelfällen eine automatisierte Entscheidungsfindung einschließlich Profiling statt?

Bei der Nutzung der Dienste findet keine automatisierte Entscheidungsfindung einschließlich Profiling in einer Weise statt, die nach Art. 22 DSGVO unzulässig wäre.

10. Änderungen

Wir überarbeiten diese Datenschutzhinweise bei Änderungen an der App oder der Website oder bei sonstigen Anlässen, die dies erforderlich machen. Wir werden Sie über die Änderungen informieren (etwa per E-Mail oder in der App bzw. auf der Webseite). Die jeweils aktuelle Fassung finden Sie stets in der App oder auf der Website.