Datenschutzerklärung für die App „Clever Travel“

Der Schutz Ihrer personenbezogenen Daten ist uns ein wichtiges Anliegen. In dieser Datenschutzerklärung informieren wir Sie darüber, welche personenbezogenen Daten beim Besuch unserer Website und der Nutzung unserer App „Clever Travel“ (Progressive Web App sowie iOS/Android-App) erhoben und wie diese verarbeitet werden. Wir behandeln Ihre personenbezogenen Daten vertraulich und entsprechend den gesetzlichen Datenschutzvorschriften, insbesondere der Datenschutz-Grundverordnung (DS-GVO) und dem Bundesdatenschutzgesetz (BDSG).

1. Verantwortliche Stelle

Verantwortlicher für die Datenverarbeitung im Sinne der DS-GVO:

osnabyte - Jan Gloger
Albert-Einstein-Str. 1
49076 Osnabrück, Deutschland

Kontakt:
Telefon: +49 (0)541 93 93 41 91
E-Mail: info@osnabyte.de

Ein gesonderter Datenschutzbeauftragter wurde nicht benannt, da dies gesetzlich nicht erforderlich ist. Bei Fragen zum Datenschutz können Sie sich jederzeit an den Verantwortlichen unter den oben angegebenen Kontaktdaten wenden.

2. Allgemeine Hinweise zur Datenverarbeitung

Die Nutzung von „Clever Travel“ ist grundsätzlich anonym möglich. Sie können die Routenberechnung und viele Funktionen der App verwenden, ohne personenbezogene Daten anzugeben oder ein Benutzerkonto anzulegen. Einige erweiterte Funktionen (z.B. personalisierte Einstellungen, CO₂-Ersparnis-Statistiken, automatisierte Routen-Benachrichtigungen) stehen nur nach freiwilliger Registrierung über einen Drittanbieter-Login (Google/Apple) zur Verfügung. In dieser Datenschutzerklärung erläutern wir getrennt die Datenverarbeitung bei anonymer Nutzung und bei Nutzung mit Registrierung.

Wir verarbeiten personenbezogene Daten nur, soweit dies zur Bereitstellung einer funktionsfähigen App bzw. Website sowie unserer Inhalte und Leistungen erforderlich ist, oder wenn Sie hierin eingewilligt haben. Dabei beachten wir die Grundsätze der Datensparsamkeit und Zweckbindung. Alle Daten werden über verschlüsselte Verbindungen (HTTPS/TLS) übertragen. Unsere Datenbank (betrieben durch Supabase) speichert Daten verschlüsselt. Es werden keine Passwörter von uns erhoben oder gespeichert, da die Anmeldung ausschließlich über OAuth-Anbieter erfolgt.

Hinweis: Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. Name, E-Mail-Adresse, Standortdaten, IP-Adresse).

3. Bereitstellung der Website/App und Server-Logfiles

Beim Aufruf unserer Website clever-travel.com bzw. Web-App werden durch unseren Hosting-Dienstleister **Vercel** automatisch einige technische Daten erfasst (Server-Logfiles). Diese Daten umfassen z.B. Ihre IP-Adresse, Datum und Uhrzeit der Anfrage, die abgerufene Seite/Datei, Browsertyp und -version, Betriebssystem sowie die jeweils übertragene Datenmenge. Die Verarbeitung dieser Daten erfolgt, um die Auslieferung der Website zu ermöglichen, die Sicherheit und Stabilität des Angebots zu gewährleisten sowie ggf. Fehlfunktionen zu analysieren. Eine Zusammenführung dieser Log-Daten mit anderen Datenquellen findet nicht statt. IP-Adressen werden spätestens nach wenigen Tagen anonymisiert oder gelöscht. Rechtsgrundlage für diese Verarbeitung ist unser berechtigtes Interesse (Art. 6 Abs. 1 lit. f DS-GVO), den Betrieb unserer Website und App technisch fehlerfrei und sicher zu gestalten.

4. Nutzung der App ohne Registrierung (anonyme Nutzung)

Sie können „Clever Travel“ weitgehend nutzen, ohne ein Benutzerkonto anzulegen. In diesem Fall werden nur solche Daten erhoben, die für die Funktionsfähigkeit der App und die von Ihnen angeforderten Dienste notwendig sind. Dazu gehören insbesondere:

• Routenberechnung: Wenn Sie eine Route berechnen, erheben wir die von Ihnen eingegebene Start- und Zieladresse (bzw. -koordinaten) sowie die gewählten Einstellungen (z.B. gewünschtes Transportmittel, Berücksichtigung von Wetterdaten). Diese Daten werden an den externen Routenservice OpenRouteService (betrieben durch HeiGIT gGmbH in Deutschland) übermittelt, der die Route für verschiedene Verkehrsmittel (Fuß, Fahrrad, Auto, öPNV, Taxi) berechnet. Hierfür ist es erforderlich, dass Ihre Start- und Zielkoordinaten an die API von OpenRouteService gesendet werden. Der Dienst erhält hierbei auch Ihre IP-Adresse, da diese technisch bei jeder HTTP-Anfrage übertragen wird. OpenRouteService verwendet diese Daten ausschließlich zur Routenberechnung und gemäß deren Datenschutzrichtlinien.
• Kartendarstellung: Zur Darstellung von Kartenmaterial (Stadtpläne, Routenverlauf) nutzen wir OpenStreetMap (bereitgestellt über die OpenStreetMap Foundation, Großbritannien) mittels der Bibliothek “Leaflet”. Wenn Kartenausschnitte geladen werden (Kartenkacheln), wird Ihre IP-Adresse an den Kartenserver von OpenStreetMap übertragen. Diese Nutzung ist notwendig, um Ihnen eine visuelle Routenanzeige zu bieten. Weitere personenbezogene Daten werden dabei nicht übermittelt. Näheres finden Sie in der Datenschutzerklärung von OpenStreetMap.
• Adresssuche (Geocoding): Wenn Sie in der App nach einer Adresse suchen oder eine Adresse autovervollständigen, wird Ihre Eingabe (Adressfragment) an den Dienst Nominatim von OpenStreetMap übermittelt, um Koordinaten für die Routenberechnung zu erhalten. Auch hierbei wird Ihre IP-Adresse technisch an den OSM/Nominatim-Server übertragen. Der Dienst liefert uns die Koordinaten der gesuchten Adresse zur weiteren Verarbeitung. Diese Verarbeitung ist erforderlich, um die von Ihnen gewünschte Routing-Funktion bereitzustellen.
• Wetterdaten: Sofern die App Wetterbedingungen für Ihre Route berücksichtigt (z.B. um vor Regen zu warnen), wird für die entsprechenden Orte eine Wetterabfrage an einen externen Wetterdienst gestellt. Aktuell nutzt die App hierfür OpenWeatherMap (OpenWeather Ltd). Dazu werden die Koordinaten des betreffenden Ortes und der Zeitpunkt an die API des Wetterdienstes übermittelt. Auch hierbei kann Ihre IP-Adresse vom Drittanbieter wahrgenommen werden. Die Wetterdaten dienen dazu, Ihnen Empfehlungen auf Basis der aktuellen Witterung zu geben (z.B. “Regen ab 17 Uhr”). Falls kein Wetterdienst aktiv ist, erfolgt keine derartige Datenübermittlung.
• Ergebnisanzeige und lokale Speicherung: Die berechneten Routen-Informationen (voraussichtliche Dauer, Entfernung, Kosten, CO₂-Emissionen pro Transportmittel etc.) werden Ihnen in der App angezeigt, jedoch nicht personengebunden dauerhaft auf unseren Servern gespeichert. Einige dieser Informationen (z.B. die letzten von Ihnen eingegebenen Adressen oder Ergebnisse einer automatischen Benachrichtigung) werden temporär in Ihrem Browser-Speicher gehalten (Session Storage), um die Benutzererfahrung zu verbessern (etwa wenn Sie eine Push-Benachrichtigung öffnen, werden die zugehörigen Routendaten kurz zwischengespeichert). Diese Daten im Session Storage werden gelöscht, sobald Sie die App/den Browser-Tab schließen.
• Lokaler Adressverlauf: Die App speichert einen Verlauf Ihrer letzten (bis zu 10) eingegebenen Start- und Zieladressen lokal auf Ihrem Gerät (im Local Storage Ihres Browsers bzw. in der App). Dabei werden Adresse, zugehörige Koordinaten und der Zeitpunkt der letzten Nutzung gespeichert, damit Sie diese Adressen schnell erneut auswählen können. Diese Informationen werden ausschließlich auf Ihrem Endgerät gespeichert und nicht an uns übermittelt. Sie können den gespeicherten Adressverlauf jederzeit löschen, indem Sie in den Einstellungen Ihres Browsers/der App die persönlichen Daten bzw. Local Storage löschen.

Verwendung von IP-Adressen für Statistik und Schutz: Bei der Routenberechnung kann serverseitig kurzzeitig Ihre IP-Adresse verarbeitet werden, um eine ungefähre regionale Herkunft (Stadt, Land) für statistische Zwecke zu ermitteln und um Missbrauch (z.B. exzessive automatisierte Anfragen) zu erkennen und zu begrenzen. Hierzu nutzen wir ggf. geographische IP-Datenbanken, speichern aber nicht die IP-Adresse selbst dauerhaft. Es wird lediglich die abgeleitete Ortsinformation (z.B. "Berlin, Deutschland") zusammen mit der berechneten Route statistisch erfasst. Diese statistischen Daten enthalten keine direkten personenbezogenen Identifikatoren und dienen ausschließlich der Verbesserung unseres Dienstes (z.B. um zu analysieren, aus welchen Regionen die App genutzt wird oder welche Verkehrsmittel häufig gewählt werden).

Anonyme Routen-Analytics: Alle Routenberechnungen – unabhängig davon, ob Sie registriert sind oder nicht – werden in unserer Datenbank anonymisiert protokolliert. Dabei speichern wir z.B. Start- und Zielorte, die Distanz, die berechneten Optionen (Dauer, Kosten, CO₂ etc. für die Verkehrsmittel) sowie Wetterbedingungen und den empfohlenen Transportmodus. Ein Personenbezug wird hierbei nicht hergestellt; insbesondere wird keine Nutzer-ID und keine vollständige IP-Adresse gespeichert. Diese Aufzeichnungen dienen rein der internen Analyse und Verbesserung unseres Angebots (z.B. um durchschnittliche CO₂-Einsparungen zu ermitteln oder die App an Nutzungsgewohnheiten anzupassen). Rechtsgrundlage für diese anonymen Analysen ist unser berechtigtes Interesse gem. Art. 6 Abs. 1 lit. f DS-GVO, die App stetig zu optimieren. Sie können der Verwendung Ihrer Daten für solche anonymen Statistikzwecke jederzeit widersprechen; in diesem Fall werden wir Ihre künftigen Routen nicht in die Statistik einfließen lassen (bitte beachten Sie, dass ein vollständiger Ausschluss hier technisch nur möglich ist, wenn Sie die App nicht weiter nutzen, da wir keine Identifikationsmöglichkeit für anonyme Nutzer haben).

Rechtsgrundlagen für anonyme Nutzung: Die Verarbeitung der oben genannten Daten ohne Registrierung erfolgt hauptsächlich zur Erfüllung unseres Vertrages über die Bereitstellung der von Ihnen angeforderten App-Funktionen (Art. 6 Abs. 1 lit. b DS-GVO). Soweit wir Daten zur Verbesserung unseres Dienstes oder zur Sicherheit verarbeiten (z.B. IP-basierte Nutzungsstatistiken, Server-Logs), erfolgt dies auf Grundlage unseres berechtigten Interesses (Art. 6 Abs. 1 lit. f DS-GVO). Funktionen wie die Wetterabfrage, die nicht essentiell für die Vertragserfüllung sind, können auf Ihrer freiwilligen Wahl beruhen und damit ggf. als (konkludente) Einwilligung gewertet werden (Art. 6 Abs. 1 lit. a DS-GVO). In allen Fällen achten wir darauf, nur solche Daten zu erheben, die für den jeweiligen Zweck erforderlich sind.

5. Registrierung und Nutzerkonto (Login mit Google oder Apple)

Die Erstellung eines persönlichen Nutzerkontos ist freiwillig und erfolgt über die Funktion „Mit Google anmelden“ oder „Mit Apple anmelden“. Wir bieten keine eigene Passwort-Registrierung an; stattdessen nutzen wir die OAuth-Dienste von Google und Apple. Wenn Sie sich über einen dieser Dienste anmelden, werden wir von dem jeweiligen Anbieter bestimmte personenbezogene Daten übermittelt bekommen.

Google OAuth: Bei Nutzung der Google-Anmeldung werden Sie auf die Anmeldeseite von Google (Google LLC, USA) weitergeleitet. Google informiert Sie, welche Daten (z.B. Ihre E-Mail-Adresse, Ihr öffentlicher Profilname und ggf. Profilbild) an uns übermittelt werden. Diese Daten müssen Sie im Rahmen des Google-Login-Prozesses bestätigen. Wir erhalten von Google anschließend eine eindeutige Benutzer-ID (die Google-ID), Ihre E-Mail-Adresse und Ihren Profilnamen. Ihr Google-Passwort bleibt uns natürlich unbekannt. Weitere Informationen finden Sie in der Datenschutzerklärung von Google. Bitte beachten Sie, dass Google bei der Nutzung der OAuth-Funktion seinerseits Daten verarbeitet (z.B. die Tatsache, dass Sie sich bei unserer App anmelden); darauf haben wir keinen Einfluss.

Apple Sign-In: Bei Nutzung der Anmeldung über Apple (Apple Inc., USA) werden Sie auf Apples Login-Seite geführt. Apple gibt Ihnen die Möglichkeit, ausgewählte Daten mit uns zu teilen. In der Regel erhalten wir von Apple eine benutzerdefinierte ID (Apple User ID) und ggf. Ihren Namen sowie die E-Mail-Adresse. Apple bietet die Option, die E-Mail-Adresse zu verbergen; in diesem Fall erhalten wir eine von Apple generierte Relay-E-Mail-Adresse, über die wir Sie kontaktieren können, ohne Ihre echte E-Mail-Adresse zu kennen. Ihr Apple-Konto-Passwort wird uns nicht mitgeteilt. Details hierzu finden Sie in der Datenschutzerklärung von Apple.

Nach erfolgreicher OAuth-Anmeldung legt unsere Anwendung ein Nutzerprofil in unserer Datenbank (Supabase) an. Dieses enthält die von Google/Apple erhaltenen Daten, insbesondere:

• Ihren Namen (sofern übermittelt)
• Ihre E-Mail-Adresse
• Eine interne Nutzer-ID (UUID), die Ihrem Konto bei uns zugeordnet wird
• Den gewählten Login-Provider (Google oder Apple)

Diese Daten verwenden wir, um Sie innerhalb der App zu identifizieren, Ihre Einstellungen zu speichern und Ihnen kontobezogene Funktionen bereitzustellen. Die E-Mail-Adresse nutzen wir ggf., um Sie im Bedarfsfall zu kontaktieren (z.B. bei wichtigen Änderungen unserer Dienste oder zur Kontoverifizierung), sofern dies notwendig sein sollte. Wir werden Ihnen ohne Ihre ausdrückliche Einwilligung keine Werbung zusenden.

Nutzereinstellungen und Personalisierung: Mit einem Konto stehen Ihnen personalisierte Funktionen zur Verfügung. Sie können in der App z.B. Einstellungen für den Routenvorschlag vornehmen (Gewichtung von Zeit, Kosten, Umweltaspekten), Ihren bevorzugten Fahrzeugtyp für Berechnungen angeben (z.B. Benzin, Diesel, Elektro) oder festlegen, ob Sie ein Deutschland-Ticket besitzen (für öPNV-Empfehlungen). Diese Einstellungen werden in Ihrem Nutzerprofil (in der Datenbank) gespeichert. Wir speichern dabei Werte wie z.B. “time_weight”, “cost_weight”, “environment_weight” (Zahlen zwischen 0 und 1) sowie Angaben wie “fuel_type” (Kraftstofftyp Ihres Autos), “has_deutschland_ticket” (Ja/Nein) und ggf. von Ihnen ausgeschlossene Transportmittel. Zweck der Verarbeitung ist, Ihnen auf Sie zugeschnittene Routenvorschläge zu liefern. Rechtsgrundlage hierfür ist die Vertragserfüllung gem. Art. 6 Abs. 1 lit. b DS-GVO, da Sie diese personalisierten Funktionen auf Wunsch nutzen.

Gespeicherte Routen und Statistiken: Wenn Sie angemeldet sind, können Sie ausgewählte Routen speichern und Ihre persönlichen CO₂-Ersparnisse verfolgen. Konkret speichert die App, wenn Sie sich für eine der vorgeschlagenen Optionen entscheiden, die gewählte Transportoption als “User Route Selection”. Dabei werden Start/Ziel, gewähltes Verkehrsmittel (z.B. zu Fuß, Fahrrad, Auto, öPNV, Taxi) und die zugehörigen Werte (Dauer, Distanz, geschätzte Kosten, CO₂-Emissionen und kalorischer Verbrauch) gespeichert. Zudem wird berechnet, wie viel CO₂ Sie im Vergleich zur Autofahrt eingespart haben (wenn Sie nicht ohnehin das Auto gewählt haben). Diese Daten können Sie in Ihrem Profil einsehen, um Ihre persönlichen Umwelt-Ersparnisse nachzuverfolgen. Die Speicherung erfolgt auf Grundlage Ihrer Nutzung der entsprechenden Funktion (Vertragserfüllung, Art. 6 Abs. 1 lit. b DS-GVO). Sie können diese Einträge jederzeit in der App einsehen und löschen.

Automatisierte Routen (Routinen): Angemeldete Nutzer haben die Möglichkeit, wiederkehrende Routen (z.B. Arbeitsweg) als “automatisierte Route” zu speichern und sich zu bestimmten Zeiten benachrichtigen zu lassen. Hierbei speichern wir die von Ihnen angegebenen Routeninformationen (Name der Route, Start- und Zieladresse mit Koordinaten) sowie Ihren gewünschten Benachrichtigungs-Zeitplan (Wochentage, Uhrzeit und Zeitzone). Sie können zudem für jede automatische Route festlegen, ob bestimmte Verkehrsmittel ausgeschlossen werden sollen (z.B. “kein Taxi”) und ob Sie ein gültiges öPNV-Ticket (Deutschland-Ticket) besitzen, um die Empfehlungen entsprechend anzupassen. Diese Daten werden in der Datenbank in der Tabelle für automatisierte Routen gespeichert. Unser System prüft in regelmäßigen Abständen (alle 15 Minuten) mittels eines Serverjobs, ob für einen Nutzer eine Benachrichtigung ansteht. Ist dies der Fall, wird die Route neu berechnet und Ihnen per Push-Benachrichtigung zugesandt (siehe Push-Benachrichtigungen unten). Dabei speichern wir den Zeitpunkt der letzten versandten Benachrichtigung, um Duplikate zu vermeiden. Die Verarbeitung dieser Daten erfolgt ausschließlich, um die von Ihnen gewünschte Funktion bereitzustellen (Rechtsgrundlage: Vertragserfüllung, Art. 6 Abs. 1 lit. b DS-GVO). Sie können Ihre gespeicherten automatisierten Routen jederzeit in der App bearbeiten oder löschen.

Geräteverwaltung: In Zusammenhang mit Ihrem Konto führen wir eine Liste Ihrer Geräte, sofern Sie Push-Benachrichtigungen aktiviert haben (siehe dazu nächster Abschnitt). Jedes Gerät erhält einen eindeutigen Geräte-Identifier (eine zufällige UUID), der bei erstmaliger Nutzung der App generiert und im Local Storage des Geräts gespeichert wird. Dieser Identifier wird zusammen mit dem jeweiligen Push-Messaging-Token in unserer Datenbank gespeichert, um Benachrichtigungen an das richtige Gerät senden zu können und um ein Gerät eindeutig zu erkennen (z.B. um doppelte Einträge zu vermeiden). In der Geräteverwaltung speichern wir für jedes Gerät u.a. das Betriebssystem (iOS/Android/Web), die App-Version, und Flags, ob das Gerät Push-Benachrichtigungen aktiviert hat oder ob ein Token ungültig geworden ist. Wenn Sie ein Nutzerkonto haben, wird das Gerät Ihrem Account zugeordnet, so dass Ihre Benachrichtigungen nur an Ihre eigenen Geräte gesendet werden. Anonyme (nicht angemeldete) Geräte können ebenfalls Push-Mitteilungen empfangen, werden dann aber nicht mit einer Nutzer-ID verknüpft. Die Geräte- und Token-Daten dienen ausschließlich der technischen Zustellung von Push-Nachrichten. Rechtsgrundlage ist auch hier Ihre Einwilligung bzw. Anfrage (Art. 6 Abs. 1 lit. a DS-GVO für das Setzen des Tokens, siehe Push-Benachrichtigungen) und die Vertragserfüllung (Art. 6 Abs. 1 lit. b DS-GVO, soweit die Benachrichtigung Bestandteil des von Ihnen genutzten Dienstes ist).

Rechtsgrundlagen für die registrierte Nutzung: Die Verarbeitung der Daten Ihres Nutzerkontos erfolgt zur Bereitstellung der von Ihnen angeforderten personalisierten Funktionen und somit zur Vertragserfüllung (Art. 6 Abs. 1 lit. b DS-GVO). Die Nutzung der OAuth-Login-Dienste von Google/Apple stellt zugleich eine Einwilligung in die Datenübermittlung an diese Dienste dar (Art. 6 Abs. 1 lit. a DS-GVO), da Sie diese Anmeldung freiwillig auswählen. Soweit wir sensible Einstellungen verarbeiten (z.B. Standortdaten für automatische Routen), erfolgt dies ebenfalls nur mit Ihrer Einwilligung. Insgesamt ist die Registrierung optional; Sie können die App auch ohne diese Datenverarbeitungen nutzen (siehe voriger Abschnitt).

Hinweis für Minderjährige: Unsere App richtet sich grundsätzlich an Nutzer aller Altersgruppen und enthält keine jugendgefährdenden Inhalte. Allerdings ist für die Registrierung über Google oder Apple in der Regel ein Mindestalter (meist 13 Jahre) erforderlich, beziehungsweise die Zustimmung der Erziehungsberechtigten. Wenn Sie noch nicht volljährig sind, nutzen Sie die Login-Funktion bitte nur, wenn das nach den Bedingungen von Google/Apple zulässig ist oder mit Zustimmung Ihrer Eltern. Die anonyme Nutzung der App (ohne Login) ist jederzeit möglich und erfordert keine Angabe personenbezogener Daten.

6. Push-Benachrichtigungen

Die App kann Ihnen auf Wunsch Push-Benachrichtigungen senden – beispielsweise Ergebnisse automatisierter Routenberechnungen zu vordefinierten Zeiten (siehe oben) oder andere Mitteilungen im Zusammenhang mit der App (etwa Tipps oder Updates, wobei derzeit nur Routen-Benachrichtigungen vorgesehen sind). Push-Benachrichtigungen erfolgen nur, wenn Sie ausdrücklich zugestimmt haben:

• In der Web-App fragt Ihr Browser Sie um Erlaubnis, Benachrichtigungen anzeigen zu dürfen. Ohne Ihre Zustimmung werden keine Push-Nachrichten im Browser empfangen.
• In der iOS/Android-App fragt Sie das Betriebssystem (bei der ersten Verwendung von Push-Funktionen), ob Sie Mitteilungen erlauben möchten. Sie können dies ablehnen oder zustimmen. Ohne Zustimmung versendet die App keine Push-Benachrichtigungen an Ihr Gerät.

Wenn Sie Push-Benachrichtigungen erlauben, wird ein sogenanntes Device Token erstellt. Dabei handelt es sich um eine eindeutige Kennung, die von Apple bzw. Google Firebase Cloud Messaging (FCM) generiert wird, um Ihr Gerät für Push-Nachrichten anzusprechen. Dieses Token wird von unserer App erfasst und zusammen mit einem internen Geräte-Identifier und Angaben zum Gerätetyp (iOS, Android, Web) in unserer Datenbank gespeichert (siehe Geräteverwaltung oben). Wir nutzen das Token ausschließlich, um die von Ihnen aktivierten Benachrichtigungen an Ihr Gerät zu senden.

Der Versand der Push-Nachrichten erfolgt über den Dienst Firebase Cloud Messaging (FCM) von Google (Google LLC, USA). Wir übermitteln dazu den Benachrichtigungsinhalt (z.B. “Neue Routenvorschläge für deinen Arbeitsweg von A nach B”) zusammen mit dem Device Token an die FCM-Server, die die Nachricht an Ihr Gerät ausliefern. Google verarbeitet hierbei das Device Token und Metadaten zum Versand (Zeitpunkt, Zustellstatus) als Auftragsverarbeiter in unserem Auftrag. Nähere Informationen dazu finden Sie in der Datenschutzerklärung von Firebase. Wir haben mit Google entsprechende Vereinbarungen getroffen (u.a. auf Basis von EU-Standardvertragsklauseln), um ein angemessenes Datenschutzniveau zu gewährleisten.

Sie können die Push-Benachrichtigungen jederzeit deaktivieren. Hierfür können Sie entweder in den App-Einstellungen die Benachrichtigungsfunktion ausschalten oder in den Einstellungen Ihres Geräts/Browsers die Berechtigung für Push-Mitteilungen entziehen. Sobald Sie Benachrichtigungen deaktivieren, senden wir keine weiteren Push-Nachrichten an Ihr Gerät, und Sie können auf Wunsch auch das registrierte Gerät/Token aus Ihrem Konto löschen lassen. Hinweis: Bei Löschung der App oder Zurücksetzen des Browsers werden die gespeicherten Tokens ggf. ungültig und in unserem System nach einiger Zeit als “inaktiv” markiert.

Rechtsgrundlage für die Verarbeitung im Zusammenhang mit Push-Benachrichtigungen ist Ihre freiwillige Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO). Diese können Sie jederzeit mit Wirkung für die Zukunft widerrufen, indem Sie die Benachrichtigungen wie beschrieben deaktivieren.

7. Verwendung von Standortdaten

GPS-Ortung (Geolocation): Die App bietet Ihnen die Möglichkeit, Ihren aktuellen Standort als Startpunkt für eine Routenberechnung zu verwenden (z.B. per Klick auf einen “Ortungs”-Button). Wenn Sie diese Funktion nutzen, wird die Standortfreigabe von Ihrem Gerät bzw. Browser erbeten. Ohne Ihre Zustimmung (in der Regel erfolgt ein entsprechender Popup der Browser- oder Betriebssystem-Berechtigungen) greifen wir nicht auf GPS-Daten zu. Stimmen Sie zu, erhält die App einmalig Zugriff auf Ihre aktuellen Standortkoordinaten (Breiten- und Längengrad). Diese Koordinaten werden nicht an unser Backend übermittelt oder dauerhaft gespeichert. Die Verarbeitung erfolgt rein lokal in der App: Ihre Koordinaten werden verwendet, um sie als Ausgangspunkt in die Routenberechnung einzuspeisen. Hierzu können die Koordinaten in eine Adresse umgewandelt werden (Reverse Geocoding), damit Sie den Standort ebenfalls in lesbarer Form sehen. Das Reverse Geocoding erfolgt über den oben erwähnten Dienst Nominatim (OpenStreetMap), an den die Koordinaten und Ihre IP-Adresse zum Zweck der Adressauflösung übermittelt werden. Anschließend wird die ermittelte Adresse als Startadresse für die Routenberechnung verwendet (siehe Routenberechnung oben). Ihre GPS-Koordinaten selbst werden nicht weitergegeben und nach Verwendung unmittelbar verworfen.

Sie können die Standortfreigabe jederzeit beenden, indem Sie entweder in der App keinen weiteren Standortzugriff anfordern oder die Berechtigung in den Geräte-/Browser-Einstellungen wieder entziehen. Nach Entzug der Berechtigung erfolgt keine weitere Abfrage Ihres Standorts durch unsere App.

IP-basierte Standortermittlung: Wie bereits unter Abschnitt 4 beschrieben, können wir anhand Ihrer IP-Adresse grob den Ort (Stadt/Region) ermitteln. Dies erfolgt jedoch ohne Speicherung der IP und rein für anonyme Statistikzwecke.

Rechtsgrundlage für die Nutzung Ihrer Standortdaten ist Ihre Einwilligung (Art. 6 Abs. 1 lit. a DS-GVO). Diese können Sie jederzeit widerrufen, indem Sie die Berechtigung entziehen. Beachten Sie, dass die App auch ohne GPS-Zugriff funktioniert, Sie müssen dann den Startpunkt manuell eingeben.

8. Lokale Datenspeicherung und Offline-Funktion

Unsere App nutzt Browser- und Gerätespeicher, um die Performance zu verbessern und bestimmte Funktionen offline bereitzustellen:

• Local Storage: Wie oben erwähnt, speichert die App einige Daten dauerhaft lokal in Ihrem Browser bzw. auf Ihrem Gerät, z.B. Ihren Adress-Verlauf, einen eindeutigen Geräte-Identifier (zufällige Kennung) und ein Flag, ob Sie das Einführungs-Tutorial bereits gesehen haben. Diese Daten dienen der Verbesserung Ihrer Nutzererfahrung (Schnellauswahl früherer Adressen, Vermeidung wiederholter Hinweise) und bleiben auf Ihrem Gerät gespeichert, bis Sie sie manuell löschen. Local-Storage-Daten werden nicht automatisch an uns übertragen; wir lesen sie nur aus, wenn dies für die App-Funktion erforderlich ist (z.B. um Ihre Adresshistorie anzuzeigen oder Ihr Gerät bei Push-Benachrichtigungen wiederzuerkennen). Sie können den Local Storage jederzeit über die Einstellungen Ihres Browsers oder durch Neuinstallation der App zurücksetzen.
• Session Storage: Temporäre Daten, wie z.B. geöffnete Routen aus Benachrichtigungen, werden im Session Storage gehalten und beim Schließen des Tabs/der App gelöscht.
• Service Worker Cache: Als Progressive Web App nutzt „Clever Travel“ einen Service Worker, um statische Dateien (HTML, CSS, JavaScript, Icons) lokal zwischenzuspeichern. Dies ermöglicht eine schnellere Ladezeit und begrenzte Offline-Fähigkeit der App (z.B. kann die App-Oberfläche geladen werden, auch wenn gerade keine Internetverbindung besteht). Im Cache werden keine individuellen Nutzerdaten gespeichert, sondern nur Programmdaten. Der Cache wird automatisch aktualisiert, wenn neue App-Versionen bereitstehen, oder kann von Ihnen über die Browsereinstellungen/App-Einstellungen gelöscht werden.
• Cookies: Eigene Cookies setzt die App nicht. Es kann jedoch vorkommen, dass im Rahmen der Anmeldung über Drittanbieter (Google OAuth, Apple Sign-In) oder durch unsere Backend-Technologie (Supabase) Cookies gesetzt werden, die für den Anmeldeprozess bzw. die Aufrechterhaltung der Sitzung technisch notwendig sind. Solche Cookies werden zum Beispiel von den Domains der OAuth-Anbieter oder von Supabase verwendet, um den Login-Vorgang sicher zu gestalten. Wir verwenden keine Tracking-Cookies oder ähnliche Technologien zu Werbe- oder Analysezwecken.

Die lokale Speicherung und Caching-Funktionen beruhen auf unserem berechtigten Interesse (Art. 6 Abs. 1 lit. f DS-GVO), Ihnen eine effiziente und nutzerfreundliche App bereitzustellen, sowie – soweit es sich um nicht essentielle Daten handelt – auf Ihrer konkludenten Einwilligung durch Nutzung der App. Sie können jederzeit durch entsprechende Einstellungen (z.B. Löschen des App-Speichers) die weitere Verarbeitung dieser lokal gespeicherten Daten unterbinden.

9. Empfänger der Daten und eingesetzte Dienstleister

Wir geben Ihre personenbezogenen Daten grundsätzlich nicht an unbeteiligte Dritte weiter. Zur Bereitstellung unseres Dienstes setzen wir jedoch im Rahmen von Auftragsverarbeitungen bzw. als eingebundene Dienste eine Reihe von externen Dienstleistern ein, die jeweils bestimmte Daten erhalten. Diese Empfänger sind wie folgt:

• Supabase (Datenbank und Authentifizierung): Unsere Backend-Infrastruktur (Datenbank, Benutzerverwaltung, API-Server) wird über Supabase (Supabase Inc.) bereitgestellt. Die von Ihnen in der App eingegebenen oder generierten Daten (Benutzerdaten, Routen, Einstellungen etc.) werden auf den Supabase-Servern gespeichert. Wir nutzen dabei bewusst die Hosting-Option in der EU-Region, so dass die Daten auf Servern innerhalb der Europäischen Union gespeichert werden. Supabase handelt als Auftragsverarbeiter für uns. Mit Supabase besteht ein Vertrag zur Auftragsverarbeitung (Data Processing Addendum), der den Schutz Ihrer Daten nach europäischem Recht gewährleistet. Weitere Informationen finden Sie in der Datenschutzerklärung von Supabase und den Datenverarbeitungsbedingungen.
• Vercel (Hosting der Website und Serverless Functions): Unsere Web-App und Website wird über die Plattform Vercel (Vercel Inc.) gehostet. Vercel speichert und liefert die statischen Dateien der App über ein globales CDN (Content Delivery Network) mit Serverstandorten weltweit. Für Nutzer aus Europa wird nach Möglichkeit ein Server in EU-Nähe verwendet. Auch unsere Backend-Funktionen (z.B. das Versenden von Benachrichtigungen über einen Cron-Job) laufen auf Vercel als sogenannte Serverless Functions. Vercel verarbeitet in diesem Rahmen die von Ihrem Browser gesendeten technischen Daten (siehe Server-Logfiles) und ggf. API-Anfragen. Mit Vercel haben wir ebenfalls ein Data Processing Agreement abgeschlossen (inkl. EU-Standardvertragsklauseln). Weitere Informationen bei Vercel: siehe Privacy Policy und Data Processing Addendum.
• OpenRouteService (Routing-API): Wie oben erläutert, nutzen wir für die Routenberechnung die API von OpenRouteService (HeiGIT gGmbH, Deutschland). Dieser Dienst erhält die für die Berechnung notwendigen Daten (Start/Ziel und Optionen) sowie technisch Ihre IP-Adresse. Ein ausdrucklicher Vertrag zur Auftragsverarbeitung liegt nach unserer Kenntnis nicht vor; die Nutzung erfolgt als eigenständiger Dienst im Rahmen der von HeiGIT gestellten Nutzungsbedingungen. HeiGIT verarbeitet die Daten zur Erfüllung der Routing-Anfrage und unterliegt den deutschen/europäischen Datenschutzstandards.
• OpenStreetMap/Nominatim (Geodaten-API): Ebenfalls wie oben beschrieben, werden für Adress-Suche und Kartenanzeige Dienste der OpenStreetMap Foundation (Großbritannien) in Anspruch genommen (Nominatim für Geocoding, OSM für Karten). Diese erhalten Suchbegriffe bzw. Koordinaten und die IP-Adresse im Rahmen der Nutzung. Die OSM Foundation gilt nach dem Brexit als verantwortliche Stelle in einem Drittland (UK), für das jedoch ein Angemessenheitsbeschluss der EU vorliegt (das Datenschutzniveau in UK wird als angemessen betrachtet). Wir haben keinen darüber hinausgehenden Einfluss auf die Verarbeitung bei OSM, nutzen den Dienst aber nur in dem Umfang, der zur Bereitstellung der Karten- und Geocoding-Funktion erforderlich ist.
• OpenWeatherMap (Wetterdienst): Soweit wir Wetterdaten einbinden, erfolgt dies über die API von OpenWeatherMap (OpenWeather Ltd, UK). Hier werden Standortkoordinaten und ggf. ein Zeitstempel übertragen, um Wetterinformationen (Temperatur, Niederschlag, etc.) für Ihre Route zu erhalten. Auch OpenWeatherMap unterliegt dem UK-Datenschutzrecht (Angemessenheitsbeschluss der EU). Die Daten werden vom Wetterdienst nur zur Bereitstellung der angeforderten Informationen genutzt.
• Google Firebase Cloud Messaging (Push-Service): Wie im Abschnitt Push-Benachrichtigungen beschrieben, nutzen wir für den Versand von Push-Mitteilungen Googles FCM. Google agiert hierbei als unser technischer Dienstleister, um die Nachrichten an Ihr Endgerät zuzustellen. Google kann dabei gerätebezogene Daten (Token, Gerätetyp) und Nutzungsdaten (Zustellungs-Logs) verarbeiten. Wir haben mit Google entsprechende Vereinbarungen (inkl. EU-Standardvertragsklauseln) geschlossen. Google ist unter dem EU-US Data Privacy Framework zertifiziert, wodurch ein angemessenes Datenschutzniveau für personenbezogene Daten, die in die USA übermittelt werden, gewährleistet ist.
• Google LLC (OAuth-Login): Im Falle der Anmeldung über “Mit Google anmelden” gilt Google für den Authentifizierungsprozess als (mit-)verantwortliche Stelle. Die Übermittlung Ihrer Profildaten an uns erfolgt auf Basis Ihrer Einwilligung. Weitere Verarbeitung der Daten bei Google (z.B. dass Sie unseren Dienst nutzen) liegt in der eigenen Verantwortung von Google.
• Apple Inc. (Sign-In mit Apple): Bei Nutzung des Apple-Logins ist Apple für die vorgelagerte Datenerhebung und -übermittlung verantwortlich. Welche Daten Apple an uns übermittelt, bestimmen Sie im Rahmen des Sign-In-Prozesses. Wir behandeln diese Daten dann wie oben beschrieben. Apple kann den Umstand, dass Sie unsere App nutzen, ebenfalls statistisch verarbeiten. Weitere Details bei Apple.

Eine darüber hinausgehende Weitergabe personenbezogener Daten an Dritte erfolgt nicht, es sei denn, wir sind gesetzlich dazu verpflichtet (z.B. Auskunft an Strafverfolgungsbehörden) oder Sie haben ausdrücklich eingewilligt.

Keine Datenverkäufe/Keine Werbung: Wir verkaufen keine Nutzerdaten an Dritte. Es werden derzeit auch keine externen Tracking- oder Werbedienste in der App eingesetzt (kein Google Analytics, kein Facebook Pixel o.ä.); sollten wir dies künftig planen, würden wir zuvor Ihre Einwilligung einholen und diese Datenschutzerklärung entsprechend aktualisieren.

10. Internationale Datenübermittlung

Im Rahmen der oben genannten Dienste kann es zur Übermittlung von Daten in Staaten außerhalb der Europäischen Union (sogenannte Drittstaaten) kommen, insbesondere in die USA (bei Nutzung von Google- oder Apple-Diensten sowie ggf. Vercel). Wir achten darauf, dass für diese Datenübermittlungen ein angemessenes Schutzniveau gewährleistet ist. Google und Apple sind nach eigenen Angaben im Rahmen des EU-US Data Privacy Framework zertifiziert, wodurch die Einhaltung europäischer Datenschutzstandards zugesichert wird. Zudem haben wir – wo erforderlich – mit den Dienstleistern Verträge auf Basis der EU-Standardvertragsklauseln abgeschlossen, die vertraglich Datenschutzgarantien bieten.

Trotz dieser Maßnahmen weisen wir darauf hin, dass bei Datenübermittlungen in die USA ein Restrisiko bestehen kann, dass US-Behörden auf Daten zugreifen, ohne dass europäische Betroffene hiergegen gerichtlich vorgehen können. Wir beschränken daher die Übermittlung auf das erforderliche Maß und stützen uns, wo möglich, auf EU-Standorte der Dienstleister.

11. Speicherdauer und Löschung

Wir speichern personenbezogene Daten nur so lange, wie es für die jeweiligen Zwecke erforderlich ist oder wir gesetzlich dazu verpflichtet sind.

• Nutzerkonto und Profildaten: Wenn Sie ein Konto angelegt haben, bleiben Ihre Profildaten und Einstellungen grundsätzlich gespeichert, solange Ihr Account aktiv ist. Sollten Sie Ihren Account löschen (oder löschen lassen), werden alle mit Ihrem Account verknüpften personenbezogenen Daten aus unserer Datenbank entfernt. Dies umfasst Nutzereinstellungen, gespeicherte Routen, Gerätezuordnungen etc. (Wir nutzen hierbei auch die Funktion einer kaskadierenden Löschung: wird Ihr Nutzerprofil gelöscht, werden alle zugehörigen Einträge in verknüpften Tabellen ebenfalls gelöscht oder anonymisiert.) Bitte beachten Sie, dass Sie im Falle von OAuth-Login die Löschung entweder über eine entsprechende Funktion in der App veranlassen müssen oder uns kontaktieren müssen; das alleinige Löschen Ihres Google/Apple-Kontos führt nicht automatisch zur Löschung Ihrer bei uns gespeicherten Daten.
• Routen-Analytics (anonym): Anonyme Routenberechnungsdaten (ohne Personenbezug) behalten wir grundsätzlich zeitlich unbegrenzt, da sie keinen Rückschluss auf einzelne Personen zulassen und für unsere Statistik wertvoll sind. Sollten wir Daten in aggregierter Form (z.B. Gesamtanzahl der Berechnungen) auswerten, können solche aggregierten Datensätze ebenfalls dauerhaft gespeichert werden.
• Gerätedaten und Push-Tokens: Geräteinformationen und Push-Token bleiben gespeichert, solange das Gerät aktiv Push-Benachrichtigungen erhält. Wenn ein Push-Token ungültig wird oder Sie die Benachrichtigungen deaktivieren, können wir den Eintrag als “inaktiv” markieren oder löschen. Spätestens auf Anfrage oder bei offensichtlicher dauerhafter Inaktivität (z.B. App deinstalliert) werden wir solche Tokens und Geräteeinträge entfernen.
• Lokale Daten auf Ihrem Gerät: Alle Daten im Local Storage, Session Storage oder Cache verbleiben auf Ihrem Endgerät und unter Ihrer Kontrolle. Wir haben keine technische Möglichkeit, diese Daten remote zu löschen. Sie können diese Daten jedoch jederzeit selbst entfernen (siehe Abschnitt 8). Bei Löschung der App oder Zurücksetzen des Browser-Speichers werden diese lokalen Daten gelöscht.
• Kommunikationsdaten: Sollten Sie mit uns per E-Mail oder auf anderem Weg Kontakt aufnehmen (z.B. Support-Anfragen an feedback@clever-travel.com), verwenden wir Ihre angegebenen Kontaktdaten nur zur Beantwortung der Anfrage. Solche Korrespondenz wird ggf. in unserem E-Mail-Archiv nach den geltenden rechtlichen Aufbewahrungsfristen gespeichert (Geschäftsbriefe müssen z.B. bis zu 6 Jahre aufbewahrt werden).

Nach Ablauf der jeweiligen Aufbewahrungsfristen werden Daten routinemäßig gelöscht oder anonymisiert, sofern sie nicht mehr für die Erfüllung des Zweckes erforderlich sind.

12. Ihre Rechte als betroffene Person

Ihnen stehen hinsichtlich der Verarbeitung Ihrer personenbezogenen Daten die folgenden Rechte zu:

• Auskunft (Art. 15 DS-GVO): Sie haben das Recht, eine Bestätigung darüber zu verlangen, ob wir personenbezogene Daten von Ihnen verarbeiten. Ist dies der Fall, haben Sie ein Recht auf Auskunft über diese Daten sowie auf weitere Informationen, z.B. die Verarbeitungszwecke, die Empfänger und die geplante Speicherdauer bzw. die Kriterien für deren Festlegung.
• Berichtigung (Art. 16 DS-GVO): Sie können unverzügliche Berichtigung unrichtiger oder Vervollständigung unvollständiger personenbezogener Daten verlangen.
• Löschung (Art. 17 DS-GVO): Sie haben das Recht, die Löschung personenbezogener Daten zu verlangen, sofern die gesetzlichen Voraussetzungen erfüllt sind. Dies ist z.B. der Fall, wenn die Daten für die Zwecke, für die sie erhoben wurden, nicht mehr notwendig sind, Sie Ihre Einwilligung widerrufen haben und es an einer anderweitigen Rechtsgrundlage für die Verarbeitung fehlt, oder die Daten unrechtmäßig verarbeitet wurden.
• Einschränkung der Verarbeitung (Art. 18 DS-GVO): Sie können die Einschränkung der Verarbeitung Ihrer Daten verlangen, z.B. wenn Sie die Richtigkeit der Daten bestreiten, für die Dauer unserer Prüfung, oder wenn Sie bei einem Recht auf Löschung um eingeschränkte Verarbeitung bitten.
• Datenübertragbarkeit (Art. 20 DS-GVO): Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem gängigen, maschinenlesbaren Format zu erhalten, und das Recht, diese Daten einem anderen Verantwortlichen zu übermitteln, sofern dies technisch machbar ist.
• Widerspruch (Art. 21 DS-GVO): Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten Widerspruch einzulegen, die wir auf Grundlage von Art. 6 Abs. 1 lit. f DS-GVO (berechtigtes Interesse) durchführen. Legen Sie Widerspruch ein, werden wir Ihre Daten nicht weiter verarbeiten, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Bitte beachten Sie, dass dieses Widerspruchsrecht bei rein anonymen Datenauswertungen praktisch nicht greift, da dort kein Bezug zu Ihrer Person besteht.
• Widerruf von Einwilligungen (Art. 7 Abs. 3 DS-GVO): Sie haben das Recht, erteilte Einwilligungen jederzeit mit Wirkung für die Zukunft zu widerrufen. Durch den Widerruf wird die Rechtmäßigkeit der bis dahin erfolgten Verarbeitung nicht berührt. Das bedeutet, Sie können z.B. die Standortfreigabe oder Push-Einwilligung jederzeit in den Geräteeinstellungen entziehen, oder Ihr Nutzerkonto löschen, um die weitere Verarbeitung der damit verbundenen Daten zu beenden.

Zur Ausübung Ihrer Rechte können Sie sich jederzeit formlos an uns wenden, z.B. per E-Mail an info@osnabyte.de. Bitte stellen Sie dabei sicher, dass wir Sie eindeutig identifizieren können (bei Konto-Daten z.B. durch Nennung der angemeldeten E-Mail-Adresse), um unberechtigte Auskünfte an Dritte zu vermeiden. Wir werden Ihr Anliegen umgehend prüfen und spätestens innerhalb der gesetzlich vorgegebenen Frist von einem Monat beantworten.

Sie haben zudem das Recht, sich bei einer Datenschutz-Aufsichtsbehörde über die Verarbeitung Ihrer Daten durch uns zu beschweren (Art. 77 DS-GVO). Zuständig für uns ist insbesondere die Landesbeauftragte für den Datenschutz Niedersachsen, die Sie unter folgender Adresse erreichen können:

Landesbeauftragte für den Datenschutz Niedersachsen,
Prinzenstraße 5, 30159 Hannover, Deutschland.
Telefon: +49 511 120 4500, E-Mail: poststelle@lfd.niedersachsen.de.

Sie können Ihre Beschwerde grundsätzlich auch bei jeder anderen Aufsichtsbehörde einreichen, insbesondere in dem Mitgliedstaat Ihres Aufenthaltsorts oder Ihres Arbeitsplatzes.

13. Änderungen dieser Datenschutzerklärung

Wir entwickeln unsere App und Dienste stetig weiter, weshalb es notwendig sein kann, diese Datenschutzerklärung von Zeit zu Zeit anzupassen (beispielsweise bei Einführung neuer Funktionen oder zur Anpassung an geänderte Rechtslagen). Die jeweils aktuelle Fassung der Datenschutzerklärung ist auf unserer Website unter clever-travel.com/datenschutz abrufbar und wird auch innerhalb der App verlinkt. Änderungen werden wir in geeigneter Weise kommunizieren. Ältere Versionen dieser Erklärung halten wir zu Nachweiszwecken vor.

Stand dieser Datenschutzerklärung: 24. Oktober 2025