Datenschutzerklärung des Lehrstuhls für Informationsmanagement der Georg-August-Universität Göttingen im Rahmen des PedShare Projektes

I.          Name und Anschrift des Verantwortlichen

Der Verantwortliche im Sinne der Datenschutz-Grundverordnung und anderer nationaler Datenschutzgesetze der Mitgliedsstaaten sowie sonstiger datenschutzrechtlicher Bestimmungen ist die:

Universität Göttingen

Professur für Informationsmanagement

Platz der Göttinger Sieben 5

37073 Göttingen

Deutschland

Tel.: +49 (0)551 / 39-4440

E-Mail: lkolbe@uni-goettingen.de

Projekt-Website: https://pedshare.uni-goettingen.de/

II.        Allgemeine Informationen

1.        Umfang der Verarbeitung personenbezogener Daten

Wir verarbeiten personenbezogene Daten unserer Nutzer grundsätzlich nur, soweit dies zur Bereitstellung einer funktionsfähigen Anwendung sowie unserer Inhalte und Leistungen erforderlich ist. Die Verarbeitung personenbezogener Daten unserer Nutzer erfolgt nur nach Einwilligung des Nutzers. Diese erfolgt nach erstmaliger Registrierung der Nutzer in der PedShare App.

Personenbezogene Daten sind alle Daten, die auf Sie persönlich beziehbar sind, wie beispielsweise Ihr Name, Ihre E-Mail-Adresse oder Ihre IP-Adresse.

Diese personenbezogenen   Daten werden   von   uns   nur   gemäß   den Bestimmungen der EU-Datenschutzgrundverordnung (DSGVO) sowie anderer Bestimmungen des europäischen sowie des jeweils anwendbaren nationalen Datenschutzrechtserhoben und verarbeitet. Die Erhebung und Verwendung personenbezogener Daten erfolgt nur, nachdem Sie hierzu eingewilligt haben oder die Verarbeitung der Daten durch gesetzliche Vorschriften gestattet ist. Die nachfolgenden Bestimmungen informieren Sie jeweils über Art, Umfang und Zweck der Erhebung und Verarbeitung Ihrer personenbezogenen Daten.

2.        Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Soweit wir für Verarbeitungsvorgänge personenbezogener Daten eine Einwilligung der betroffenen Person einholen, dient Art. 6 Abs. 1 lit. a EU-Datenschutzgrundverordnung (DSGVO) als Rechtsgrundlage.

Soweit eine Verarbeitung personenbezogener Daten zur Erfüllung einer rechtlichen Verpflichtung erforderlich ist, der unser Unternehmen unterliegt, dient Art. 6 Abs. 1 lit. c DSGVO als Rechtsgrundlage.

Für den Fall, dass lebenswichtige Interessen der betroffenen Person oder einer anderen natürlichen Person eine Verarbeitung personenbezogener Daten erforderlich machen, dient Art. 6 Abs. 1 lit. d DSGVO als Rechtsgrundlage.

Ist die Verarbeitung zur Wahrung eines berechtigten Interesses unseres Unternehmens oder eines Dritten erforderlich und überwiegen die Interessen, Grundrechte und Grundfreiheiten des Betroffenen das erstgenannte Interesse nicht, so dient Art. 6 Abs. 1 lit. f DSGVO als Rechtsgrundlage für die Verarbeitung.

3.        Datenlöschung und Speicherdauer

Die personenbezogenen Daten der Nutzer werden gelöscht oder gesperrt, sobald der Zweck der Speicherung entfällt. Dieser Zeitpunkt trifft mit Ablauf des Projektes PedShare ein.

III.     Personenbezogene Daten innerhalb der PedShare App für Android und iOS

1.        Beschreibung und Umfang der Datenverarbeitung

Bei jeder Nutzung unserer Anwendung erfasst unser System automatisiert Daten und Informationen vom Endgerät des Nutzers sowie den smarten GPS-Schlössern. Folgende Daten werden hierbei erhoben:

a)        Registrierung

Zur Nutzung der Plattform ist eine Registrierung mittels einer privaten oder firmeneigenen E-Mail Adresse erforderlich. Bei Angabe einer privaten E-Mail Adresse, wird der Mobility Manager des jeweiligen Unternehmens automatisiert via E-Mail um eine Autorisierung der Nutzung gebeten.

Der Nutzer gibt bei der Registrierung einen selbstgewählten Nicknamen an, der zur Identifikation einzelner Profile innerhalb der Plattform dient.

Zum Empfangen von Benachrichtigungen (z.B. Erinnerung an Beginn einer Buchung), wird vom System eine Identifikationsnummer für jedes Endgerät angelegt.

b)        Buchung

Alle Buchungen eines Nutzers werden mit Startzeit, Endzeit, Startstation, Endstation und dem gewählten Fahrrad erfasst.

c)         Fahrt

Eine aktive Buchung berechtigt einen Nutzer Fahrten mit einem E-Bike der PedShare-Flotte zu unternehmen. Eine Fahrt startet mit Öffnen und endet mit Verriegeln des smarten Schlosses über die App. Der genaue Start- und Endzeitpunkt einer Fahrt wird erfasst. Während der Fahrt überträgt das smarte Schloss im Abstand von 10 Sekunden die aktuelle Position an die Plattform. Auf dieser Basis werden Durchschnittsgeschwindigkeit, Fahrtdauer, Fahrstrecke und CO2-Ersparnis ermittelt. Außerdem können die Daten verwendet werden, um Missbrauchs- oder Diebstahlszenarien aufzuklären. Sollte das Fahrrad darüber hinaus einen Diebstahlversuch erkennen, werden die Daten unabhängig von Nutzung und Fahrt an die Plattform übertragen.

d)        Ranking und Gamification

Entscheidet sich ein Nutzer für die aktive Teilnahme am unternehmensweiten Ranking, wird die absolute CO2-Ersparniss ermittelt und vom System gespeichert. Die erfolgreichsten Nutzer werden mit Nicknamen und CO2-Ersparniss im Ranking angezeigt, welches für alle Nutzer innerhalb eines Unternehmens sichtbar ist.

2.        Rechtsgrundlage für die Datenverarbeitung

Rechtsgrundlage für die vorübergehende Speicherung der Daten ist Art. 6 Abs. 1 lit. f DSGVO.

3.        Zweck der Datenverarbeitung

Die vorübergehende Speicherung der oben genannten Daten ist notwendig, um eine Auslieferung der Anwendung an das Endgerät des Nutzers und somit ein fehlerfreies Nutzen der App zu ermöglichen. Die gespeicherten Daten werden zum Zwecke projektbezogener Forschung und Auswertungen genutzt und werden nicht an Dritte weitergegeben.

In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

4.        Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für unsere Aufzeichnungszwecke nicht mehr benötigt werden. Mit Ende des Projektes PedShare am 31.12.2021 werden sämtliche personenbezogene Daten der Nutzer gelöscht.

5.        Widerspruchs- und Beseitigungsmöglichkeit

Die Erfassung der Daten zur Bereitstellung der Anwendung und die Speicherung der Daten ist für den Betrieb der Anwendung zwingend erforderlich. Es besteht folglich seitens des Nutzers keine Widerspruchsmöglichkeit.

IV.     Personenbezogene Daten durch Nutzung von Diensten Dritter

1.        Umfang der Verarbeitung personenbezogener Daten

Diese Art von Diensten haben den Zweck, Daten und Dateien zu hosten, damit diese Anwendung verwaltet und verwendet werden kann. Die Angebote dieser Dienste können eine vorgefertigte Infrastruktur zur Verfügung stellen, die spezifische Funktionen oder ganze Bestandteile für diese App abwickelt. Einige dieser Dienste arbeiten mit geografisch verteilten Servern, so dass es schwierig ist, den Ort zu bestimmen, an dem die personenbezogenen Daten gespeichert sind.

Wir nutzen innerhalb unserer Anwendung die Anwendungsprogrammierschnittstelle von Google Maps sowie Google Firebase Cloud Functions und Google Firebase Cloud Firestore des Unternehmens Google LLC (1600 Amphitheatre Parkway,  Mountain  View,  CA  94043, USA)

Die API von Google Maps ermöglicht es uns z.B. interaktive Karten in der App anzuzeigen und ist somit für die Funktionsfähigkeit und vollständige Bereitstellung unserer Inhalte unerlässlich. Die Datenschutzerklärung von Google finden Sie unter https://www.google.com/help/terms_maps.html.

Google Firebase nutzt für seine Dienste nach Möglichkeit Server mit Standort im Europäischen Wirtschaftsraum. Es ist aber nicht auszuschließen, dass Daten auch in die USA übertragen werden. Google hat sich hierzu dem EU-US-Privacy-Shield unterworfen (https://www.privacyshield.gov/participant?id=a2zt000000001L5AAI&status=Active ). Eine ausführliche Datenschutzerklärung für alle Firebase-Dienste finden Sie unter: https://firebase.google.com/support/privacy.

Cloud Functions for Firebase ist ein Backend Dienst, bereitgestellt von Google Inc. Zum Bereitstellen der Plattform, werden die in Abschnitt II beschriebenen personenbezogene Daten mit Hilfe des Dienstes verarbeitet.

Cloud Firestore ist eine Datenbank, bereitgestellt von Google Inc. Zum Bereitstellen der Plattform, werden die in Abschnitt II beschriebenen personenbezogene Daten mit Hilfe des Dienstes gespeichert.  

2.        Rechtsgrundlage für die Verarbeitung personenbezogener Daten

Rechtsgrundlage für die Verarbeitung der personenbezogenen Daten der Nutzer ist Art. 6 Abs. 1 lit. f DSGVO.

3.        Zweck der Datenverarbeitung

Die vorübergehende Speicherung der oben genannten Daten ist notwendig, um eine Auslieferung der Anwendung an das Endgerät des Nutzers und somit ein fehlerfreies Nutzen der App zu ermöglichen. Die gespeicherten Daten werden zum Zwecke projektbezogener Forschung und Auswertungen genutzt und werden nicht an Dritte weitergegeben.

In diesen Zwecken liegt auch unser berechtigtes Interesse an der Datenverarbeitung nach Art. 6 Abs. 1 lit. f DSGVO.

4.        Dauer der Speicherung

Die Daten werden gelöscht, sobald sie für unsere Aufzeichnungszwecke nicht mehr benötigt werden. Mit Ende des Projektes PedShare am 31.12.2021 werden sämtliche personenbezogene Daten der Nutzer gelöscht.

5.        Widerspruchs- und Beseitigungsmöglichkeit

Die durch die Einbindung von Drittanbietern verwendeten Cookies werden auf dem Endgerät des Nutzers gespeichert und von diesem an eingebundene Drittanbieter übermittelt. Daher haben Sie als Nutzer auch die volle Kontrolle über die Verwendung von Cookies. Durch eine Änderung der Einstellungen in Ihrem Internetbrowser können Sie die Übertragung von Cookies deaktivieren oder einschränken. Bereits gespeicherte Cookies können jederzeit gelöscht werden. Dies kann auch automatisiert erfolgen. Werden Cookies für unsere Website deaktiviert, können möglicherweise nicht mehr alle Funktionen der Website vollumfänglich

V.       Rechte der betroffenen Person

Werden personenbezogene Daten von Ihnen verarbeitet, sind Sie Betroffener i.S.d. DSGVO und es stehen Ihnen folgende Rechte gegenüber dem Verantwortlichen zu:

1.        Auskunfts- und Widerrufsrecht

Sie können von dem Verantwortlichen eine Bestätigung darüber verlangen, ob personenbezogene Daten, die Sie betreffen, von uns verarbeitet werden.

Liegt eine solche Verarbeitung vor, können Sie von dem Verantwortlichen über folgende Informationen Auskunft verlangen:

(1)         die Zwecke, zu denen die personenbezogenen Daten verarbeitet werden;

(2)         die Kategorien von personenbezogenen Daten, welche verarbeitet werden;

(3)         die Empfänger bzw. die Kategorien von Empfängern, gegenüber denen die Sie betreffenden personenbezogenen Daten offengelegt wurden;

(4)         die geplante Dauer der Speicherung der Sie betreffenden personenbezogenen Daten oder, falls konkrete Angaben hierzu nicht möglich sind, Kriterien für die Festlegung der Speicherdauer;

(5)         das Bestehen eines Rechts auf Berichtigung oder Löschung der Sie betreffenden personenbezogenen Daten, eines Rechts auf Einschränkung der Verarbeitung durch den Verantwortlichen oder eines Widerspruchsrechts gegen diese Verarbeitung;

Ihnen steht das Recht zu, Auskunft darüber zu verlangen, ob die Sie betreffenden personenbezogenen Daten in ein Drittland oder an eine internationale Organisation übermittelt werden. In diesem Zusammenhang können Sie verlangen, über die geeigneten Garantien gem. Art. 46 DSGVO im Zusammenhang mit der Übermittlung unterrichtet zu werden.

Wenn Sie eine Einwilligung zur Nutzung von Daten erteilt haben, können Sie diese jederzeit ohne Angaben von Gründen mit Wirkung für die Zukunft widerrufen.  

2.        Recht auf Berichtigung

Sollten Ihre bei uns gespeicherten Daten nicht richtig oder unvollständig sein, können Sie diese jederzeit in Ihrem Kundenaccount korrigieren bzw. vervollständigen oder durch uns korrigieren bzw. vervollständigen lassen.

3.        Recht auf Löschung

a)        Löschungspflicht

Sie haben das Recht von uns zu verlangen, dass die Sie betreffenden personenbezogenen Daten unverzüglich gelöscht werden. Wir sind verpflichtet, diese Daten unverzüglich zu löschen, sofern einer der folgenden Gründe zutrifft:

(1)         Die Sie betreffenden personenbezogenen Daten sind für die Zwecke, für die sie erhoben oder auf sonstige Weise verarbeitet wurden, nicht mehr notwendig.

(2)         Sie widerrufen Ihre Einwilligung, auf die sich die Verarbeitung gem. Art. 6 Abs. 1 lit. a oder Art. 9 Abs. 2 lit. a DSGVO stützte, und es fehlt an einer anderweitigen Rechtsgrundlage für die Verarbeitung.

(3)         Sie legen gem. Art. 21 Abs. 1 DSGVO Widerspruch gegen die Verarbeitung ein und es liegen keine vorrangigen berechtigten Gründe für die Verarbeitung vor, oder Sie legen gem. Art. 21 Abs. 2 DSGVO Widerspruch gegen die Verarbeitung ein.

(4)         Die Sie betreffenden personenbezogenen Daten wurden unrechtmäßig verarbeitet.

(5)         Die Löschung der Sie betreffenden personenbezogenen Daten ist zur Erfüllung einer rechtlichen Verpflichtung nach dem Unionsrecht oder dem Recht der Mitgliedstaaten erforderlich, dem der Verantwortliche unterliegt.

(6)         Die Sie betreffenden personenbezogenen Daten wurden in Bezug auf angebotene Dienste der Informationsgesellschaft gemäß Art. 8 Abs. 1 DSGVO erhoben.

b)        Information an Dritte

Haben wir die Sie betreffenden personenbezogenen Daten an Dritte weitergegeben oder wurden Sie durch Nutzung von Diensten Dritter an solche weitergegeben, sind wir gem. Art. 17 Abs. 1 DSGVO zu deren Löschung verpflichtet, so treffen wir unter Berücksichtigung der verfügbaren Technologie und der Implementierungskosten angemessene Maßnahmen, auch technischer Art, um für die Datenverarbeitung Verantwortliche, die die personenbezogenen Daten verarbeiten, darüber zu informieren, dass Sie als betroffene Person von ihnen die Löschung aller Links zu diesen personenbezogenen Daten oder von Kopien oder Replikationen dieser personenbezogenen Daten verlangt haben.

c)         Ausnahmen

Das Recht auf Löschung besteht nicht, soweit die Verarbeitung erforderlich ist

(1)         zur Ausübung des Rechts auf freie Meinungsäußerung und Information;

(2)         zur Erfüllung einer rechtlichen Verpflichtung, die die Verarbeitung nach dem Recht der Union oder der Mitgliedstaaten, dem der Verantwortliche unterliegt, erfordert, oder zur Wahrnehmung einer Aufgabe, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde;

(3)         aus Gründen des öffentlichen Interesses im Bereich der öffentlichen Gesundheit gemäß Art. 9 Abs. 2 lit. h und i sowie Art. 9 Abs. 3 DSGVO;

(4)         für im öffentlichen Interesse liegende Archivzwecke, wissenschaftliche oder historische Forschungszwecke oder für statistische Zwecke gem. Art. 89 Abs. 1 DSGVO, soweit das unter Abschnitt a) genannte Recht voraussichtlich die Verwirklichung der Ziele dieser Verarbeitung unmöglich macht oder ernsthaft beeinträchtigt, oder

(5)         zur Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

4.        Recht auf Unterrichtung

Haben Sie das Recht auf Berichtigung, Löschung oder Einschränkung der Verarbeitung uns gegenüber geltend gemacht, sind wir dazu verpflichtet, allen Empfängern, denen die Sie betreffenden personenbezogenen Daten offengelegt wurden, diese Berichtigung oder Löschung der Daten oder Einschränkung der Verarbeitung mitzuteilen, es sei denn, dies erweist sich als unmöglich oder ist mit einem unverhältnismäßigen Aufwand verbunden.

Ihnen steht uns gegenüber das Recht zu, über diese Empfänger unterrichtet zu werden.

5.        Recht auf Datenübertragbarkeit

Sie haben das Recht, die Sie betreffenden personenbezogenen Daten von uns in einem strukturierten, gängigen und maschinenlesbaren Format zu erhalten. Außerdem haben Sie das Recht diese Daten einem anderen Verantwortlichen ohne Behinderung unsererseits zu übermitteln, sofern

(1)         die Verarbeitung auf einer Einwilligung gem. Art. 6 Abs. 1 lit. a DSGVO oder Art. 9 Abs. 2 lit. a DSGVO oder auf einem Vertrag gem. Art. 6 Abs. 1 lit. b DSGVO beruht und

(2)         die Verarbeitung mithilfe automatisierter Verfahren erfolgt.

In Ausübung dieses Rechts haben Sie ferner das Recht, zu erwirken, dass die Sie betreffenden personenbezogenen Daten direkt an von Ihnen gewählte Dritte übermittelt werden, soweit dies technisch machbar ist. Freiheiten und Rechte anderer Personen dürfen hierdurch nicht beeinträchtigt werden. Das Recht auf Datenübertragbarkeit gilt nicht für eine Verarbeitung personenbezogener Daten, die für die Wahrnehmung einer Aufgabe erforderlich ist, die im öffentlichen Interesse liegt oder in Ausübung öffentlicher Gewalt erfolgt, die dem Verantwortlichen übertragen wurde.

6.        Widerspruchsrecht

Sie haben das Recht, jederzeit und ohne Angabe von Gründen gegen die Verarbeitung der Sie betreffenden personenbezogenen Daten, die aufgrund von Art. 6 Abs. 1 lit. e oder f DSGVO erfolgt, Widerspruch einzulegen.

Wir verarbeiten die Sie betreffenden personenbezogenen Daten nicht mehr, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen.

Zur Geltendmachung Ihrer Rechte können Sie sich per E-Mail an pedshare@uni-goettingen.de wenden.

Sie haben die Möglichkeit, im Zusammenhang mit der Nutzung von Diensten der Informationsgesellschaft – ungeachtet der Richtlinie 2002/58/EG – Ihr Widerspruchsrecht mittels automatisierter Verfahren auszuüben, bei denen technische Spezifikationen verwendet werden.

7.        Recht auf Widerruf der datenschutzrechtlichen Einwilligungserklärung

Sie haben das Recht, Ihre datenschutzrechtliche Einwilligungserklärung jederzeit zu widerrufen. Durch den Widerruf der Einwilligung wird die Rechtmäßigkeit der aufgrund der Einwilligung bis zum Widerruf erfolgten Verarbeitung nicht berührt.

8.        Recht auf Beschwerde bei einer Aufsichtsbehörde

Wenn Sie der Ansicht sind, dass die Verarbeitung der Sie betreffenden personenbezogenen Daten gegen die DSGVO verstößt, steht Ihnen das Recht auf Beschwerde bei einer Aufsichtsratsbehörde zu.

Die Aufsichtsbehörde, bei der die Beschwerde eingereicht wurde, unterrichtet den Beschwerdeführer über den Stand und die Ergebnisse der Beschwerde einschließlich der Möglichkeit eines gerichtlichen Rechtsbehelfs nach Art. 78 DSGVO.