Datenschutz
Datenschutzhinweise von TecBakery GmbH - WavePointer für die Nutzung der eJourney App und der dort von Partnern bereitgestellten Erhebungs-Kampagnen.
Stand: 01.09.2024
In diesem Dokument informiert die TecBakery GmbH - WavePointer (im Folgenden „WP“) als Auftragsverarbeiter Sie über die Verarbeitung Ihrer (personenbezogenen) Daten im Zusammenhang mit Nutzung der eJourney App (im Folgenden „App") und dort im Speziellen von WP-Partnern bereitgestellten Erhebungs-Kampagnen (im Folgenden „KP“) und die Ihnen nach den Datenschutzgesetzen zustehenden Rechte.
Ziel des Angebots ist die Erhebung von Daten zur Ermittlung der Nachfrage von Angebotsleistungen im öffentlichen Verkehr (im Folgenden „ÖV"). Das Angebot ist auf Dauer angelegt. Der Endzeitpunkt einer Erhebung - falls vorhanden - ist in einer jeweiligen Kampagne durch den KP festgelegt zu der Sie als Teilnehmender von diesem einen Einladungs-Code erhalten haben. Alle Teilnehmenden haben aber jederzeit die Möglichkeit Ihre Teilnahme auch selbständig zu beenden.
Durch die Akzeptanz der separat bestehenden Teilnahmebedingungen sichern Sie zu, dass Sie das auf Sie registrierte Mobiltelefon - im Zusammenhang mit einer Erhebungs-Kampagne - ausschließlich selbst nutzen. Eine Weitergabe des Mobiltelefons an Dritte - im Zusammenhang mit einer Erhebungs-Kampagne - ist nicht zulässig. Sollte Ihr Mobiltelefon, das Sie für Ihre Teilnahme an dem Angebot eines KP benutzen, hier versehentlich durch andere Personen genutzt werden, verarbeiten wir auch deren Daten. Informieren Sie in diesem Fall bitte auch diese Personen über den Inhalt dieser Datenschutzerklärung.
1. Verantwortliche Stelle der Datenverarbeitung
Für das Angebot zur Teilnahme an einer Erhebungs-Kampagne in der eJourney-App trägt i. S. d. Art. 4 Z 7 DSGVO der jeweilige KP die Verantwortung, welcher Sie zu der Kampagne eingeladen und Ihnen einen Einladungs-Code zu einer jeweiligen Kampagne zugesendet hat.
Die Kontaktdaten der Datenschutzbeauftragten bzw. verantwortlichen Stelle der Datenverarbeitung entnehmen Sie bitte jeweils des Angaben des KP. Sie finden diese Angaben in der Einladungs-eMail des KP zu einer jeweiligen Kampagne.
2. Auftragsdatenverarbeiter ist
TecBakery GmbH - WavePointer
Datenschutzbeauftragter
6415 Arth am See, Schweiz
E-Mail: datenschutz@wavepointer.com
3. Personenbezogene Daten
Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.
4. Zweck und Rechtsgrundlagen der Datenverarbeitung
WP selbst verarbeitet keine personenbezogenen Erhebungs-Daten weiter, da WP die tatsächlich bestehende Identität eines Kampagnenteilnehmrs nicht bekannt ist. WP kennt nur den Einladungs-Code, den der Teilnehmer von dem KP übermittelt bekommen hat und hat selbst keinen Zugriff auf Hintergrundsysteme bei einem KP.
Nur ein KP kann personenbezogene Daten ableiten, herstellen und dies ausschließlich im Rahmen datenschutzrechtlicher Vorgaben verarbeiten oder zur Verarbeitung unter Einhaltung von Vorgaben weitergeben.
5.1 Erhebung von Mobilitätsdaten
Anbieter von Transport- und Mobilitätsdienstleistungen, besonders im ÖV, schaffen neue Ticket-Angebote, mit denen die Nutzung des ÖV gestärkt und für Fahrgäste noch attraktiver gestaltet werden soll. Um besser zu verstehen, zu welchen Anlässen und auf welchen Strecken solche neuen Ticket-Angebote von Fahrgästen genutzt werden, wird u.a. die App „eJourney“ eingesetzt. Mit der App - und einer zugehörigen Kampagne - werden die Verkehrsleistungen gemessen, die von den jeweils an der Beförderung beteiligten Verkehrsunternehmen erbracht werden.
Die App zeichnet die Mobilität von Kampagnen-Teilnehmern im jeweiligen ÖV-Umfeld automatisch auf. Die Teilnehmer werden dadurch zunehmend weitgehend nicht mehr z.B. mit dem Ausfüllen von Fragebögen oder anderen Fahrgastbefragungs-Methoden belastet.
Die Erfassung der ermittelten Daten erfolgen von WP nur auf Basis pseudonymisierter (quasi anonymer) Daten, welche keine Rückschlüsse auf einzelne Teilnehmer zulassen. Dennoch weisen wir vorsorglich darauf hin, dass z.B. durch wiederkehrende Aufenthaltsorte Rückschlüsse auf Ihren Wohn- und Arbeitsort und damit auf Sie selbst gezogen werden könnten. Um dies zu verhindern, wurden Vorkehrungen getroffen, die unter Auftragsverarbeitung zu finden sind.
5.2 Rechtsgrundlagen der Datenverarbeitung
KP verarbeiten Ihre personenbezogenen Daten im Rahmen einer dedizierten Kampagnen-Einladung, weil Sie dem KP durch Beitritt zu einer Kampagne hierzu Ihre Einwilligung erteilt haben. Die Rechtsgrundlage ist daher Art. 6 Abs. 1 a) DSGVO. Nur hinsichtlich des Kundendienstes ist die Rechtsgrundlage Art. 6 Abs. 1 f) DSGVO.
6. Datenverarbeitungen im Rahmen Ihrer Teilnahme an einer Kampagne
Im Folgenden informieren wir Sie über die einzelnen Datenverarbeitungen, die im Rahmen Ihrer Teilnahme an einer Kampagne eines KP erforderlich sind.
6.1 App
Als ersten Schritt Ihrer Teilnahme installieren Sie sich die von WP zur Verfügung gestellte App, über die Sie im Rahmen der Teilnahmebestimmungen Ihre Bewegungen und Ihr Mobilitätsverhalten im Alltag - im Zusammenhang mit dem ÖV - nachverfolgen können. Mit Eingabe Ihrer E-Mail, eines Passwortes und des Einladungs-Codes erklären Sie Ihr Einverständnis mit der Verarbeitung Ihrer personenbezogenen Daten, die im Rahmen der Nutzung der App und des Mobiltelefons für die hier beschriebenen Zwecke benötigt werden, und Sie stimmen der Geltung der Teilnahmebestimmungen zu.
6.1.1 Bewegungsdaten
Mit Hilfe der App erheben wir Ihre Bewegungsdaten (nachfolgend „Bewegungsdaten“). Auf Basis dieser Bewegungsdaten führen wir Verkehrsanalysen durch. Dies dient dem Ableiten von mobilitätsbezogenen Kennziffern. Des Weiteren können Hintergründe anhand der tagesübergreifenden Aufenthaltsmuster bestimmt und räumliche Analysen vorgenommen.
Sobald Sie die Aufzeichnung in der App starten, werden Datenpunkte erhoben, die räumliche Koordinaten, Zeitpunkte und Bewegungszustände beinhalten. Wir haben Algorithmen entwickelt, welche diese Datenpunkte im Sinne von Etappen mit verschiedenen Verkehrsmitteln und zugehörigen Attributen wie Dauer und Länge interpretieren. Wenn Sie die App über mehrere Tage nutzen, werden mehrtägige Bewegungsprofile abgebildet.
Auch wenn die Bewegungsprofile pseudonymisiert erhoben werden, könnten theoretisch durch wiederkehrende Aufenthaltsorte Rückschlüsse auf Wohn- und Arbeitsort und damit ggf. auf einzelne Personen gezogen werden. Auch wenn durch WP keine Identifikation der Teilnehmer vorgenommen wird, handelt es sich bei den erhobenen Bewegungsprofilen um bedingt personenbezogene Daten. Dementsprechend werden diese genauso sensibel behandelt wie Ihre persönlichen Anmeldedaten (E-Mail-Adresse).
Sowohl die App für das iOS-, als auch für das Android-Betriebssystem übermitteln von Ihrem mobilen Endgerät die folgenden Informationen an WP:
das Mobiltelefon-Modell,
die Version des jeweiligen Betriebssystems,
die Version der App,
Standortdaten (GPS-Koordinaten)
Beacon-Signale aus der Umgebung des ÖV
vom Mobiltelefon vorausgewertete Bewegungsaktivität.
Zudem werden von WP folgende Daten in der App erhoben:
Primäre Identifikationsdaten
E-Mail-Adresse zur Kontaktaufnahme
Anmeldeinformationen zur Anmeldung über die App (E-Mail-Adresse)
Smartphone-Applikation
Zeitpunkt der Lokalisierung
Geo-Koordinaten und Genauigkeit (vom GPS-Chip ermittelt)
Beschleunigungswerte (über Sensoren im Mobiltelefon ermittelt)
Kreiselsensor-/Gyroskopwerte (über Sensoren im Mobiltelefon ermittelt)
Barometer-/Luftdruckdaten (über Sensoren im Mobiltelefon ermittelt)
Magnetometer (über Sensoren im Mobiltelefon ermittelt)
Bewegungsaktivität aus Betriebssystem
Erkennungssicherheit (Konfidenz) der Bewegungsaktivität
Bluetooth Signale aus an Verkehrsmitteln/Haltestellen angebrachten Beacons
Weitere Bluetooth Signale von Beacons die im ÖV-Umfeld Verwendung finden
Weitere Informationen wie das genutzte Verkehrsmittel oder Linien und Kurse werden anhand von Algorithmen auf Basis von Eingangsdaten sowie durch eine Korelation mit Geodaten (sog. „Geo-Matching“) berechnet und ggf. zu dem Bewegungsprofil hinzu gespeichert. Die Geodaten beinhalten Daten des OpenStreetMap-Projekts.
6.1.2 Verarbeitung der Bewegungsdaten
Nachdem die App die in 6.1.1 dargestellten Daten aufgezeichnet hat, werden diese bei WLAN-Verbindung oder, falls eingeschaltet, über mobile Daten an den Server von WP an ein Rechenzentrum übertragen und dort in einer Datenbank gespeichert. Das Rechenzentrum von WP befindet sich ausschliesslich in der EU/Schweiz und ist nach ISO/IEC 27001 zertifiziert. ISO/IEC 27001 ist die internationale Norm für ein dokumentiertes Informationssicherheits-Management-System. Die Übertragung der durch die App erhobenen Daten erfolgt ausschließlich unter Anwendung gesicherter Verschlüsselungsverfahren. Auf dem Server von WP werden die Rohdaten mit Hilfe der in Ziff. 6.1.1 beschriebenen Analysen verarbeitet.
6.1.3 Zusätzliche Befragungen
Um mehr über die Nutzung von Ticket-Angeboten zu erfahren, z.B. wie zufrieden sie mit dem Angebot sind, planen wir in unregelmäßigen Abständen zusätzliche Befragungen durchführen. Zu diesen Befragungen werden wir Sie per E-Mail über ihre bei der Registrierung angegebene E-Mail-Adresse oder innerhalb der App kontaktieren. Die Teilnahme daran ist freiwillig und bei Nicht-Teilnahme entstehen Ihnen keine Nachteile.
6.1.4 Speicherung von Daten in der App
In der App wird, neben den erhobenen Datenpunkten selbst, nur die E-Mail für den Login der letzten Nutzung gespeichert. Dies vereinfacht den erneuten Login, da die E-Mail nicht erneut eingegeben werden muss. Passwörter und weitere nutzerbezogene Daten werden nicht gespeichert. Im Anschluss an die Übertragung der Datenpunkte an den Server werden diese in der App gelöscht.
6.1.5 Kontaktaufnahme
Sofern eine Kontaktaufnahme mit Ihnen erforderlich ist, z.B. wenn wir technische Fehler bei der Datenerhebung bemerken oder wir Sie über wichtige Neuigkeiten informieren müssen, nutzen wir dazu die E-Mail-Adresse, die Sie bei der Registrierung in der App verwendet haben.
6.2 Kundenservice
Bei etwaigen Störungen haben Sie die Möglichkeit sich an den von dem KP bereitgestellten Kundenservice zu wenden, indem Sie eine E-Mail an die von dem KP kommunizierte eMail Adresse schreiben. Diese eMail Adresse erhalten Sie meist mit dem Einladungs-Code zu einer Kampagne. Ihre personenbezogenen Daten werden dann ausschließlich dazu verwendet, Ihr Anliegen zu bearbeiten. Ihre Anfrage(n) können bis zum Ende des Erhebungszeitraumes der App aufbewahrt werden, um bei mehreren Anfragen auf Ihre Historie zurückblicken zu können und die dort gelösten Fragen für die Beantwortung einer neuen Anfrage verwenden zu können.
7. Auftragsverarbeiter
Die Erhebung und Auswertung der in Ziffer 6 beschriebenen Daten wird von WP als Auftragsverarbeiter vorgenommen:
Nach Aufzeichnung in der App werden die erfassten Daten an ein ISO-zertifiziertes Rechenzentrum mit Sitz in Deutschland/Frankreich übertragen und dort in einer Datenbank gespeichert. Die ISO-Zertifizierung beschreibt die höchste internationale Zertifizierungsnorm für Informationsmanagementsysteme. WP verarbeitet die Daten auf Servern der HostEurope GmbH mit Standorten in der EU (Deutschland und Frankreich).
Darüber hinaus bedient sich WP derzeit der folgenden Dienstleister:
7.1 Firebase Crashlytics
Hierbei handelt es sich um ein Software Development Kit (SDK) der Google LLC für Crash-Reporting und Anwendungsprotokollierung. Der Service wird eingesetzt, um Fehler der App nachvollziehen zu können. Weitere Informationen sind unter der Adresse firebase.google.com abrufbar.
7.2 Kartendarstellungen
Die App zeigt im Hintergrund eine Kartendarstellung an. Um die zur Kartendarstellung notwendigen Grafiken laden zu können und diese Grafiken anzufordern, werden Anfragen an den Kartendienstbetreiber OpenStreetMap geschickt. Innerhalb dieser Anfrage wird dem Kartendienstbetreiber die IP-Adresse der Teilnehmer übermittelt.
Der Kartendienst wird für die mobilen Betriebssysteme iOS und Android gleichermassen verwendet.
Die Datenschutzerklärung finden sich unter osmfoundation.org/wiki/Privacy_Policy
7.3 Datenübermittlung in die USA:
Nachdem Produkte (Software) von US-Dienstleistern (wie z.B. Google) zum Einsatz kommen, kann eine Übermittlung Ihrer personenbezogenen Daten (z.B. IP-Adresse) in die USA nicht ausgeschlossen werden. Ihre Daten werden nach Möglichkeit nur innerhalb Europas verarbeitet, allerdings kann aufgrund gesetzlicher Bestimmungen der USA eine Datenübermittlung in bestimmten Fällen nicht ausgeschlossen werden – etwa wenn Dienstleister eines US-Konzerns eingesetzt werden und eine US-Behörde die jeweiligen Kundendaten anfordert.
Sie werden hiermit darüber informiert, dass der Europäische Gerichtshof die USA als ein Land mit einem nicht angemessenen Datenschutzniveau attestiert hat. Insbesondere besteht das Risiko, dass US-Behörden und Nachrichtendienste auf die personenbezogenen Daten zugreifen und diese zu Kontroll- und Überwachungszwecken nutzen. Die Durchsetzung der Betroffenenrechte ist in den USA nicht durch entsprechende Rechtsschutzinstrumente gewährleistet. Um Ihre Daten vor derartigen Zugriffen zu schützen, werden diese pseudonymisiert und nur verschlüsselt übertragen (siehe 6.1.2).
8. Weitere Empfänger personenbezogener Daten
Auf vertraglicher Grundlage verarbeiten auch Unternehmen, die im Rahmen der Auftragsverarbeitung für WP/KP tätig sind, im erforderlichen Umfang teils punktuell Ihre Daten, beispielsweise Rechenzentren oder Spezialisten für Marktforschung, Datenanalyse.
Auf vertraglicher Grundlage verarbeiten auch Empfänger außerhalb unserer Unternehmen, die nicht im Rahmen der Auftragsverarbeitung für uns tätig sind, im erforderlichen Umfang Ihre personenbezogenen Daten, beispielsweise Rechtsanwälte bei Rechtstreitigkeiten
Diese - oder andere qualifizierte - Sub-Unternehmen bzw. Empfänger sind auf Grund gesetzlicher oder berufsständischer Pflichten oder vertraglichen Vereinbarungen zur Einhaltung des Datenschutzes verpflichtet.
9. Löschung personenbezogener Daten
Wir löschen personenbezogene Daten grundsätzlich, wenn sie für die o. g. Zwecke nicht mehr erforderlich sind. Spätestens bei Löschung Ihres Profils/Account werden Ihre personenbezogenen Daten, die zum Zwecke der effizienten Beantwortung Ihrer Fragen durch den Kundenservice gespeichert sind, ebenfalls gelöscht. Wenn Sie Ihr App Profil/Ihren Account löschen, dann löschen wir Ihre sämtliche Daten bei WP, es sei denn, dies wäre aus gesetzlichen Gründen nicht möglich.
10. Ihre Rechte
Als betroffene Person im Sinne der DSGVO haben Sie grundsätzlich - oder unter bestimmten gesetzlichen Voraussetzungen - folgende Rechte.
Senden Sie bitte eine E-Mail an den KP der Ihnen den Einladungs-Code zu einer Kampagne gesendet hat, wenn
Sie Auskunft über Ihre verarbeiteten Daten erhalten möchten (Art. 15 DSGVO).
Sie unrichtige personenbezogene Daten berichtigen bzw. unvollständige Daten vervollständigen möchten (Art. 16 DSGVO)
Sie Ihre personenbezogenen Daten löschen lassen möchten (Art. 17 DSGVO).
Sie Einschränkung der Verarbeitung Ihrer Daten möchten (Art. 18 DSGVO).
Sie Erhalt oder Übertragung der Sie betreffenden personenbezogenen Daten möchten (Art. 20 DSGVO).
Sie Ihre Einwilligungen in die Verarbeitung Ihrer personenbezogenen Daten jederzeit mit Wirkung für die Zukunft widerrufen möchten. Die Rechtmäßigkeit der auf Grund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt dabei vom Widerruf unberührt. Wie Sie den Widerruf erklären können, teilen wir Ihnen bei Einholung der Einwilligung mit.
Sie können sich mit Ihrem Anliegen alternativ auch schriftlich an den KP wenden
Sie finden den Kontakthinweis obenstehend unter Ziffer 1.
Darüber hinaus haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DS-GVO).
Sie können sich hierzu an die Datenschutzbehörde Ihres Landes, in dem Sie Wohnsitz haben, wenden.
11. Ihr Widerspruchsrecht (Art. 21 DS-GVO)
Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr für diese Zwecke, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Solche Widersprüche können Sie über die Verantwortliche Stelle der Datenverarbeitung siehe obenstehend unter Ziffer 1.
12. Änderungen der Datenschutzhinweise
Da Gesetzesänderungen oder Änderungen unserer unternehmensinternen Prozesse eine Anpassung dieses Datenschutzhinweises erforderlich machen können, die wir uns entsprechend vorbehalten, bitten wir Sie, diese Datenschutzhinweise unter www.ejourney.app regelmäßig abzurufen.