Datenschutzerklärung für die App „Transportflow" und dazugehörige Website

Stand: 10.4.2026

Präambel

Mit der folgenden Datenschutzerklärung möchten wir Sie darüber aufklären, welche Arten Ihrer personenbezogenen Daten (nachfolgend auch kurz als "Daten" bezeichnet) wir zu welchen Zwecken und in welchem Umfang im Rahmen der Bereitstellung unserer mobilen Applikation verarbeiten.

Wir haben die App nach dem Prinzip der Datenminimierung („Privacy by Design") entwickelt. Mit Ausnahme der Abonnement-Verwaltung erfolgen sämtliche Netzwerkverbindungen der App ausschließlich zu unserer eigenen Server-Infrastruktur in Deutschland.

Die verwendeten Begriffe sind nicht geschlechtsspezifisch.

Verantwortlicher

Hanns Adrian Böhme

Prießnitzstr. 39

01099 Dresden

E-Mail: transportflow@hannsadrian.de

Telefon: +49 351 65877307

Übersicht der Verarbeitungen

Die nachfolgende Übersicht fasst die Arten der verarbeiteten Daten und die Zwecke ihrer Verarbeitung zusammen.

Arten der verarbeiteten Daten:

• Standortdaten (GPS-Koordinaten)
• Nutzungs- und Protokolldaten (z. B. IP-Adressen, Zugriffszeiten, Suchanfragen für Verbindungen)
• Vertrags- und Zahlungsdaten (anonymisierte Kaufbelege/Receipts, Abonnement-Status)
• Kontaktdaten (z.B. E-Mail-Adressen bei Support-Anfragen)
• Lokale Daten (Einstellungen, Favoriten – werden von uns nicht verarbeitet, siehe unten)

Zwecke der Verarbeitung:

• Bereitstellung der App-Funktionalitäten (Routing, Fahrplanauskunft, Kartendarstellung)
• Abwicklung von In-App-Käufen und Freischaltung von Pro-Funktionen
• Sicherstellung der technischen Stabilität und Sicherheit unserer Infrastruktur
• Beantwortung von Nutzeranfragen und Support

Maßgebliche Rechtsgrundlagen

• Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO): Für die Verarbeitung von Standortdaten (GPS)
• Vertragserfüllung (Art. 6 Abs. 1 S. 1 lit. b DSGVO): Für die Bereitstellung der App-Kernfunktionen, das Routing und die Abwicklung des Pro-Abonnements
• Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f DSGVO): Für die Aufrechterhaltung der Serverstabilität, IT-Sicherheit und Fehleranalyse
• Rechtliche Verpflichtung (Art. 6 Abs. 1 S. 1 lit. c DSGVO): Aufbewahrungspflichten für buchhalterische Vorgänge

Detailinformationen zu den Verarbeitungsprozessen der App

1. Standortdaten (GPS)

Um Ihnen die Routenplanung von Ihrem aktuellen Standort aus zu ermöglichen und Ihnen umliegende Haltestellen auf der Karte oder in Listenform anzuzeigen, fragt die App über das Betriebssystem Ihres Geräts nach der Berechtigung zur Nutzung Ihrer Standortdaten (GPS-Koordinaten).

Verarbeitungsprozess: Wenn Sie die Funktion nutzen, wird Ihr aktueller Standort an unsere Server übermittelt, um die entsprechende Fahrplan- oder Routenberechnung durchzuführen. Die Daten werden ausschließlich flüchtig im Arbeitsspeicher unserer Server verarbeitet, um Ihre Anfrage in Echtzeit zu beantworten, und nicht dauerhaft gespeichert oder mit einem persönlichen Profil verknüpft.

Rechtsgrundlage: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO)

Widerruf: Sie können die Einwilligung jederzeit in den Systemeinstellungen Ihres Geräts (iOS / Android) widerrufen, indem Sie der App die Standortberechtigung entziehen.

2. Bereitstellung der App-Dienste und Kartenmaterial (API-Infrastruktur)

Wenn Sie eine Verbindung suchen oder die Karte bewegen, sendet die App Anfragen an unsere Backend-Server. Im Gegensatz zu vielen anderen Apps hosten wir nicht nur die Fahrplanlogik, sondern auch das Kartenmaterial (Map Tiles) auf unserer eigenen Infrastruktur. Es werden keine Daten an Drittanbieter für Kartenmaterial (wie z.B. Google Maps oder OpenStreetMap Foundation) übertragen.

Verarbeitete Daten: IP-Adresse, Datum und Uhrzeit der Anfrage, übertragene Datenmenge, verwendetes Betriebssystem, Suchparameter (z.B. Start/Ziel)

Zweck: Auslieferung von Fahrplandaten, Echtzeitdaten, generierten Linienverläufen (Shapes) und Kartenkacheln

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO) sowie berechtigte Interessen an der Stabilität und Sicherheit der Server (Art. 6 Abs. 1 lit. f DSGVO)

Hosting-Dienstleister: Hetzner Online GmbH, Industriestr. 25, 91710 Gunzenhausen, Deutschland. Wir haben mit Hetzner einen Auftragsverarbeitungsvertrag (AVV) gemäß Art. 28 DSGVO geschlossen. Logfiles (inkl. IP-Adressen) werden zur Erkennung, Analyse und Abwehr von Angriffen auf unsere Infrastruktur (insbesondere DDoS-Angriffe und Brute-Force-Versuche) für maximal 14 Tage gespeichert und danach automatisch gelöscht. Diese Speicherdauer ist erforderlich, weil sich Angriffsmuster häufig über mehrere Wochen entwickeln, koordinierte Angriffe oft mit zeitlichem Versatz wiederholt werden und eine forensische Analyse vergangener Anfragen zur Identifikation und Sperrung angreifender Systeme notwendig sein kann. Eine kürzere Speicherdauer würde eine effektive Schutzmaßnahme technisch verhindern.

3. Rein lokale Datenspeicherung (Favoriten & Einstellungen)

Ihre Privatsphäre ist uns wichtig. Jegliche Orte, die Sie als Favoriten speichern, Ihre letzten Suchverläufe sowie Ihre individuellen App-Einstellungen verbleiben ausschließlich lokal auf Ihrem Endgerät.

• Wir übertragen diese Daten nicht an unsere Server.
• Wir haben keinen Zugriff auf diese Daten.
• Löschen Sie die App, werden auch diese Daten von Ihrem Gerät gelöscht (sofern Sie nicht das Backup-System Ihres Betriebssystems, z.B. iCloud, nutzen). Da hier keine Datenverarbeitung durch uns stattfindet, unterfällt dieser Vorgang nicht der DSGVO. Wir erwähnen dies lediglich zur transparenten Information.

4. In-App-Käufe und Abonnement-Verwaltung (Pro-Version)

Wir bieten in der App kostenpflichtige Funktionen („Pro-Abo") als In-App-Kauf an. Die Zahlungsabwicklung erfolgt ausschließlich über den jeweiligen App Store (Apple App Store oder Google Play Store). Wir erhalten von den Stores keine Zahlungsdaten (wie Kontonummern oder Kreditkarten), sondern lediglich eine Bestätigung über den Kauf (ein sogenanntes „Receipt" oder Token).

Zur technischen Verifizierung, Verwaltung der Freischaltungen und Überprüfung der Gültigkeit des Abonnements setzen wir den Dienst RevenueCat ein.

Funktionsweise: Die App kommuniziert mit RevenueCat und übermittelt eine rein zufällig generierte, anonyme ID (RCAnonymousID) sowie den anonymisierten Kaufbeleg aus dem App Store. Anhand dieser ID prüft RevenueCat, ob Sie Anspruch auf die Pro-Funktionen haben. Es werden keine Klarnamen, Standortdaten, E-Mail-Adressen oder Routenverläufe an RevenueCat gesendet.

Dienstleister: RevenueCat Inc., 1032 E Brandon Blvd #3003, Brandon, FL 33511, USA.

Datenschutz bei RevenueCat: RevenueCat ist nach SOC 2 Type II zertifiziert und fungiert als unser Auftragsverarbeiter gemäß Art. 28 DSGVO. Mit RevenueCat besteht ein Data Processing Addendum (DPA), das die EU-Standardvertragsklauseln gemäß Art. 46 Abs. 2 lit. c DSGVO (Modul 2, Controller to Processor) als festen Bestandteil enthält; diese greifen automatisch als Transfermechanismus für die Übermittlung von Daten in die USA. Zusätzlich stützen wir uns derzeit auf den Angemessenheitsbeschluss der EU-Kommission gemäß Art. 45 DSGVO (EU-U.S. Data Privacy Framework, DPF), unter dem RevenueCat Inc. zertifiziert ist. Weitere Informationen finden Sie unter: revenuecat.com/privacy sowie revenuecat.com/dpa.

Rechtsgrundlage: Vertragserfüllung (Art. 6 Abs. 1 lit. b DSGVO)

5. Support und Kontaktaufnahme

Wenn Sie uns kontaktieren (z. B. per E-Mail oder über eine Meldefunktion in der App, um Fehler in Linienverläufen zu melden), verarbeiten wir Ihre Angaben zur Bearbeitung der Anfrage.

Verarbeitete Daten: E-Mail-Adresse (sofern angegeben), Inhaltsdaten Ihrer Nachricht, ggf. anwendungsbezogene Diagnosedaten (z.B. App-Version, genutztes Betriebssystem), sofern Sie diese mitsenden.

Rechtsgrundlage: Vertragserfüllung bzw. vorvertragliche Maßnahmen (Art. 6 Abs. 1 lit. b DSGVO) sowie unser berechtigtes Interesse an der Verbesserung der App und dem Beheben von Fehlern (Art. 6 Abs. 1 lit. f DSGVO).

Speicherdauer: Support-Anfragen werden für die Dauer ihrer Bearbeitung gespeichert. Anfragen ohne Bezug zu einem kostenpflichtigen Kauf werden spätestens 12 Monate nach Abschluss der Bearbeitung gelöscht. Anfragen mit Bezug zu einem In-App-Kauf (z.B. im Zusammenhang mit Widerruf, Gewährleistung oder Abonnement-Verwaltung) werden aufgrund handels- und steuerrechtlicher Aufbewahrungspflichten für 6 Jahre aufbewahrt (§ 147 AO, § 257 HGB) und anschließend gelöscht.

6. Bereitstellung unserer Website und Webhosting

Neben unserer mobilen App betreiben wir unter transportflow.me auch eine informationelle Website. Diese Website wird auf exakt derselben Infrastruktur bei der Hetzner Online GmbH (siehe Punkt 2) gehostet.

Verarbeitungsprozess: Bei der bloß informatorischen Nutzung der Website (wenn Sie sich nicht registrieren oder uns anderweitig Informationen übermitteln) erheben wir nur die personenbezogenen Daten, die Ihr Browser an unseren Server übermittelt (sogenannte Server-Logfiles). Dazu gehören: IP-Adresse, Datum und Uhrzeit der Anfrage, Inhalt der Anforderung (konkrete Seite), übertragene Datenmenge, Website, von der die Anforderung kommt (Referrer-URL), Browsertyp und -version sowie das verwendete Betriebssystem.

Zweck: Diese Daten sind technisch erforderlich, um Ihnen unsere Website anzuzeigen und die Stabilität sowie Sicherheit unserer IT-Systeme (z.B. zur Abwehr von Hacker-Angriffen) zu gewährleisten.

Rechtsgrundlage: Unser berechtigtes Interesse an der sicheren und fehlerfreien Bereitstellung unseres Webangebots (Art. 6 Abs. 1 S. 1 lit. f DSGVO).

Speicherdauer: Die Logfiles werden analog zum App-Traffic für maximal 14 Tage gespeichert und danach automatisch gelöscht. (Hinweis: Wir verzichten auf unserer Website auf einwilligungspflichtige Tracking-Cookies oder Analyse-Tools von Drittanbietern).

Sicherheitsmaßnahmen

Wir treffen nach Maßgabe der gesetzlichen Vorgaben unter Berücksichtigung des Stands der Technik geeignete technische und organisatorische Maßnahmen, um ein dem Risiko angemessenes Schutzniveau zu gewährleisten.

• Verschlüsselung (HTTPS/TLS): Sämtliche Kommunikation zwischen der App auf Ihrem Endgerät und unseren Servern (Hetzner) sowie zu RevenueCat erfolgt nach dem aktuellen Stand der Technik verschlüsselt.
• Datenminimierung: Wie oben beschrieben, fließen alle wesentlichen Verkehrsanfragen ausschließlich über unsere eigenen Server, um den unkontrollierten Abfluss von Meta-Daten an Dritte (z.B. durch Einbindung fremder Map-Provider) technisch auszuschließen.

Rechte der betroffenen Personen

Ihnen stehen als Betroffene nach der DSGVO verschiedene Rechte zu (Art. 15 bis 21 DSGVO):

• Auskunftsrecht: Sie können Bestätigung darüber verlangen, ob und welche Daten wir von Ihnen verarbeiten. (Hinweis: Da die App ohne Benutzerkonto funktioniert und wir bei reiner Nutzung keine identifizierenden Daten außer der im Moment der Anfrage verwendeten IP-Adresse speichern, können Auskunftsbegehren in der Regel mangels Identifizierbarkeit gemäß Art. 11 DSGVO ins Leere laufen).
• Recht auf Berichtigung und Löschung: Sie haben das Recht auf Berichtigung unrichtiger Daten oder auf Löschung Ihrer Daten (z.B. Widerruf der GPS-Freigabe, Löschung von Support-E-Mails).
• Widerrufsrecht bei Einwilligungen: Erteilte Einwilligungen (z.B. Standortzugriff) können jederzeit über die Betriebssystem-Einstellungen widerrufen werden.
• Widerspruchsrecht: Sie können der Verarbeitung Ihrer Daten auf Grundlage berechtigter Interessen jederzeit widersprechen.
• Recht auf Einschränkung der Verarbeitung: Sie haben das Recht, die Einschränkung der Verarbeitung Ihrer personenbezogenen Daten zu verlangen, sofern die gesetzlichen Voraussetzungen hierfür vorliegen (Art. 18 DSGVO). Da die App ohne Benutzerkonto funktioniert und wir bei reiner App-Nutzung keine dauerhaft gespeicherten, Ihnen zuordenbaren Datensätze führen, wird dieses Recht in der Praxis in der Regel nicht anwendbar sein.
• Recht auf Datenübertragbarkeit: Sie haben das Recht, die Sie betreffenden personenbezogenen Daten, die Sie uns bereitgestellt haben, in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten oder deren Übermittlung an einen anderen Verantwortlichen zu verlangen (Art. 20 DSGVO). Da die App ohne Benutzerkonto funktioniert und keine dauerhaften Nutzerprofile angelegt werden, greift dieses Recht in der Praxis in aller Regel nicht. Eine Ausnahme kann Support-Korrespondenz darstellen, sofern diese personenbezogene Daten enthält.
• Zuständige Aufsichtsbehörde: Wenn Sie der Ansicht sind, dass die Verarbeitung Ihrer personenbezogenen Daten gegen die DSGVO verstößt, haben Sie das Recht, sich bei der zuständigen Datenschutzaufsichtsbehörde zu beschweren. Zuständig für uns ist:

  Sächsische Datenschutz- und Transparenzbeauftragte (SDTB)

  Postfach 11 01 32

  01330 Dresden

  E-Mail: post@sdtb.sachsen.de

  Website: www.datenschutz.sachsen.de

Automatisierte Entscheidungsfindung und Profiling

Wir setzen keine automatisierte Entscheidungsfindung im Sinne des Art. 22 DSGVO ein. Es werden keine Entscheidungen getroffen, die ausschließlich auf einer automatisierten Verarbeitung – einschließlich Profiling – beruhen und die Ihnen gegenüber rechtliche Wirkung entfalten oder Sie in ähnlicher Weise erheblich beeinträchtigen. Wir erstellen keine Nutzerprofile.

Datenschutzbeauftragter

Ein Datenschutzbeauftragter ist nicht bestellt, da die gesetzlichen Voraussetzungen für eine Bestellpflicht gemäß Art. 37 DSGVO i. V. m. § 38 BDSG nicht vorliegen. Für datenschutzbezogene Anfragen wenden Sie sich bitte direkt an den oben genannten Verantwortlichen.

Änderung und Aktualisierung

Wir bitten Sie, sich regelmäßig über den Inhalt unserer Datenschutzerklärung zu informieren. Wir passen die Datenschutzerklärung an, sobald Änderungen in der App oder rechtliche Vorgaben dies erforderlich machen. Wenn die Änderungen eine erneute Einwilligung Ihrerseits erfordern, werden wir diese in der App einholen.

Begriffsdefinitionen

• Personenbezogene Daten: Alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person beziehen (z.B. eine E-Mail-Adresse oder auch eine IP-Adresse).
• Verarbeitung: Jeder Vorgang im Zusammenhang mit personenbezogenen Daten (Erheben, Speichern, Übermitteln, Auswerten, Löschen).
• Auftragsverarbeiter: Eine natürliche oder juristische Person, die personenbezogene Daten im Auftrag des Verantwortlichen (also uns) weisungsgebunden verarbeitet (z.B. Hetzner, RevenueCat).
• IP-Adresse: Eine individuelle Ziffernfolge, die ein Gerät im Internet identifiziert. Sie wird zwingend benötigt, um Datenpakete (wie Suchergebnisse oder Kartenbilder) von unserem Server an Ihr Smartphone zurückzusenden.

← Zurück zur Startseite