📝 [REVIEW] Privacy Policy Changes / Datenschutzbestimmungen

privacypolicy_de.md

@@ -0,0 +1,288 @@
+# Allgemeiner Hinweis und Pflicht­informationen
+
+## Benennung der verantwortlichen Stelle
+
+Die verantwortliche Stelle für die Datenverarbeitung auf dieser Website ist:
+
+> Träwelling e.V.<br>
+> Nuitsstr. 12<br>
+> 76185 Karlsruhe<br>
+> support@traewelling.org
+
+Die verantwortliche Stelle entscheidet über die Zwecke und Mittel der Verarbeitung von
+personenbezogenen Daten (z.B. Namen, Kontaktdaten o. Ä.).
+
+## Welche Daten werden erhoben?
+
+* E-Mail-Adresse
+* Nutzername (Pseudonym)
+* Anzeigename
+* Profilbild
+* Social Media Handle von SSO-Providern
+* User-ID von SSO-Providern
+* Authentifizierungs-Tokens von SSO-Providern
+* IP-Adresse
+* User-Agent (Informationen über das genutzte Client-Programm)
+* Standortdaten (Zur Bestimmung der nächsten Haltestelle)
+* Reisedaten
+	* Start-/Zielort
+	* Strecke
+	* Abfahrts-/Ankunftszeit
+	* Verkehrsmittel
+	* Optionaler Statustext (Freitext)
+	* Optionale Zusatzinformationen (Tags) als Schlüssel-Wert-Paare, z.B. Sitzplatz, Wagennummer, Fahrtklasse, Ticketart, Fahrzeugnummer oder Preis
+
+## Ihre Rechte
+
+### Widerruf Ihrer Einwilligung zur Datenverarbeitung
+
+Nur mit Ihrer ausdrücklichen Einwilligung sind einige Vorgänge der Datenverarbeitung möglich. Ein Widerruf Ihrer bereits
+erteilten Einwilligung ist jederzeit möglich. Für den Widerruf genügt eine formlose Mitteilung per E-Mail. Die
+Rechtmäßigkeit der bis zum Widerruf erfolgten Datenverarbeitung bleibt vom Widerruf unberührt.
+
+### Recht auf Beschwerde bei der zuständigen Aufsichtsbehörde
+
+Als Betroffene*r steht Ihnen im Falle eines datenschutzrechtlichen Verstoßes ein Beschwerderecht bei einer
+Aufsichtsbehörde zu. Sie können sich an jede Datenschutzaufsichtsbehörde wenden. Zuständige Aufsichtsbehörde bezüglich
+datenschutzrechtlicher Fragen ist der Landesdatenschutzbeauftragte des Bundeslandes Baden-Württemberg.
+
+Kontaktdaten des Landesdatenschutzbeauftragten:
+
+> Der Landesbeauftragte für den Datenschutz und
+> die Informationsfreiheit Baden-Württemberg<br>
+> Postfach 10 29 32<br>
+> 70025 Stuttgart<br>
+>
+> oder:
+>
+> Heilbronner Straße 35<br>
+> 70191 Stuttgart<br>
+>
+> Telefon: 0711/61 55 41-0<br>
+>
+> <https://www.baden-wuerttemberg.datenschutz.de/kontakt-aufnehmen/>
+
+### Recht auf Datenübertragbarkeit
+
+Ihnen steht das Recht zu, Daten, die wir auf Grundlage Ihrer Einwilligung oder in Erfüllung eines Vertrags automatisiert
+verarbeiten, an sich oder an Dritte
+aushändigen zu lassen. Die Bereitstellung erfolgt in einem maschinenlesbaren Format. Sofern Sie die direkte Übertragung
+der Daten an einen anderen
+Verantwortlichen verlangen, erfolgt dies nur, soweit es technisch machbar ist.
+
+Ihre Daten können Sie jederzeit unter <https://traewelling.de/export> automatisiert und maschinenlesbar exportieren.
+Für weitere Anfragen wenden Sie sich bitte direkt an uns.
+
+### Recht auf Auskunft, Berichtigung, Sperrung, Löschung
+
+Sie haben jederzeit im Rahmen der geltenden gesetzlichen Bestimmungen das Recht auf unentgeltliche Auskunft über Ihre
+gespeicherten personenbezogenen Daten, Herkunft der Daten, deren Empfänger und den Zweck der Datenverarbeitung und ggf.
+ein Recht auf Berichtigung, Sperrung oder Löschung dieser Daten.
+
+Ausdrücklich _nicht_ gelöscht werden: Toots (Posts, Veröffentlichunge, o.ä.), die auf externen Plattformen manuell oder automatisiert durch Träwelling erzeugt wurden. Dies ist technisch nicht möglich.
+
+Diesbezüglich und auch zu weiteren Fragen zum Thema personenbezogene Daten können Sie sich jederzeit über die im
+Impressum aufgeführten Kontaktmöglichkeiten an uns wenden.
+
+## SSL- bzw. TLS-Verschlüsselung
+
+Aus Sicherheitsgründen und zum Schutz der Übertragung vertraulicher Inhalte, die Sie an uns als Seitenbetreiber senden,
+nutzt unsere Website eine SSL-bzw.
+TLS-Verschlüsselung. Damit sind Daten, die Sie über diese Website übermitteln, für Dritte nicht mitlesbar. Sie erkennen
+eine verschlüsselte Verbindung an der
+„https://“ Adresszeile Ihres Browsers und am Schloss-Symbol in der Browserzeile.
+
+## Server-Log-Dateien
+
+In Server-Log-Dateien erhebt und speichert der Provider der Website automatisch Informationen, die Ihr Browser
+automatisch an uns übermittelt. Dies sind:
+
+- Besuchte Seite auf unserer Domain
+- Datum und Uhrzeit der Serveranfrage
+- Browsertyp und Browserversion
+- Verwendetes Betriebssystem
+- Referrer URL
+- Hostname des zugreifenden Rechners
+- IP-Adresse
+
+Es findet keine Zusammenführung dieser Daten mit anderen Datenquellen statt. Rechtliche Grundlage der Datenverarbeitung
+bildet Art. 6 Abs. 1 lit. b DSGVO, der die Verarbeitung von Daten zur Erfüllung eines Vertrags oder vorvertraglicher
+Maßnahmen gestattet; zugleich liegt hier ein berechtigtes Interesse an der Verarbeitung im Sinne des Art. 6 Abs. 1 lit.
+f DSGVO vor. Als Betreiber dieser Website haben wir ein berechtigtes Interesse an der Führung von Log-Dateien zur
+technisch fehlerfreien und reibungslosen Bereitstellung unserer Dienste.
+
+Die Server-Log-Dateien, einschließlich der darin enthaltenen IP-Adressen, werden nach 14 Tagen automatisch gelöscht.
+
+## Registrierung auf dieser Website
+
+Öffentliche Inhalte wie ungeschützte Status anderer Nutzer und Profil-Metadaten können ohne Registrierung eingesehen werden. Für die aktive Nutzung von
+Träwelling — insbesondere das Erstellen von Checkins — ist eine Registrierung erforderlich. Die Registrierung ist
+entweder mit einer E-Mail-Adresse und einem Passwort oder über Single-Sign-On mit einem Fediverse-Dienst
+(z.B. Mastodon, GoToSocial) möglich.
+Bei einer Registrierung über einen Fediverse-Dienst wird keine E-Mail-Adresse übermittelt;
+eine E-Mail-Adresse ist nicht verpflichtend, wird aber dringend empfohlen. Nur mit einer E-Mail-Adresse können wir Nutzende im Supportfall eindeutig verifizieren und eine mögliche Accountwiederherstellung einleiten.
+
+Sofern eine E-Mail-Adresse hinterlegt ist, nutzen wir diese für wichtige Benachrichtigungen, die Ihren Account
+betreffen.
+
+Die Verarbeitung der bei der Registrierung eingegebenen Daten erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1
+lit. a DSGVO). Informationen zur Speicherdauer und Löschung Ihres Accounts finden Sie im Abschnitt
+„Löschen des Accounts".
+
+## Speicherdauer von Beiträgen und Kommentaren
+
+Beiträge und Kommentare sowie damit in Verbindung stehende Daten, wie beispielsweise IP-Adressen, werden gespeichert.
+Der Inhalt verbleibt auf unserer
+Website, bis er vollständig gelöscht wurde oder aus rechtlichen Gründen gelöscht werden musste.
+
+Die Speicherung der Beiträge und Kommentare erfolgt auf Grundlage Ihrer Einwilligung (Art. 6 Abs. 1 lit. a DSGVO). Ein
+Widerruf Ihrer bereits erteilten
+Einwilligung ist jederzeit möglich. Für den Widerruf genügt eine formlose Mitteilung per E-Mail. Ebenfalls stellt die
+Löschung des Accounts einen Widerruf dar.
+Die Rechtmäßigkeit bereits erfolgter Datenverarbeitungsvorgänge bleibt vom Widerruf unberührt.
+
+Ihre Daten werden möglicherweise länger als angegeben verarbeitet bzw. einem Löschungsverlangen kann nicht entsprochen
+werden, sofern ein Ausnahmetatbestand der DSGVO zutrifft, insbesondere einer der in Art. 17 Abs. 3 DSGVO aufgeführten
+Gründe.
+
+## Löschen des Accounts
+
+Nutzer können ihren Account jederzeit sofort und vollständig selbst in den Einstellungen löschen. Dabei werden alle
+personenbezogenen Daten unmittelbar aus dem Live-System entfernt. Aufgrund technischer Backups können diese Daten noch
+bis zu 14 Tage in Sicherungskopien vorhanden sein, bevor sie auch dort vollständig gelöscht werden.
+
+Accounts, bei denen in den letzten 365 Tagen weder ein Login noch ein Checkin stattgefunden hat, gelten als inaktiv und
+werden automatisch gelöscht. Sofern eine E-Mail-Adresse hinterlegt ist, kann einige Wochen vor der Löschung eine
+Erinnerung per E-Mail versendet werden. Eine Ankündigung ist jedoch nicht garantiert; die Löschung kann auch ohne
+vorherige Benachrichtigung erfolgen.
+
+## Öffentliche Sichtbarkeit
+
+Ihre Beiträge und Kommentare sowie Teile der erhobenen Daten sind in der Regel öffentlich einsehbar. Sie haben aber die
+Möglichkeit im Rahmen der Status- und Profileinstellungen zu entscheiden, bestimmte Daten nicht öffentlich sichtbar zu
+machen. Sofern andere User einem solchen privaten Profil folgen, sind die Profildaten für diese User sichtbar. Sollten Sie ihr Profil "privat" konfiguriert haben, entscheiden Sie über Zustimmung oder Ablehung über Folgenanfragen. Ebenfalls haben Sie die Möglichkeit, bereits abgeschlossene Folgenanfragen wieder zu entfernen. Diese Datenverarbeitung erfolgt auf der Grundlage Ihrer
+erteilten Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO. Hinsichtlich des Widerrufs und der Speicherdauer
+verweisen wir auf die vorherigen Ausführungen.
+
+## Kalenderexport
+
+Träwelling bietet die Möglichkeit, Checkins als Kalender-Feed (iCal) zu exportieren. Der dabei erzeugte Link enthält einen persönlichen Token und ermöglicht
+ungefilterten Zugriff auf alle Checkins. Jede Person, die den Link kennt, kann sämtliche über den Feed verfügbaren
+Checkins einsehen. Wir empfehlen daher, den Link vertraulich zu behandeln und ihn nicht öffentlich weiterzugeben. Sie können bereits erzeugte Links wieder zurückziehen und damit den Zugriff über diesen entfernen.
+
+Wird der Kalender-Feed in eine externe Anwendung (z.B. ein Kalender-Programm) importiert, haben wir keinen Einfluss
+darauf, wie diese Anwendung die Daten verarbeitet, speichert oder weitergibt. Für die Datenverarbeitung durch solche
+Drittanwendungen ist deren jeweiliger Anbieter verantwortlich.
+
+## Cookies
+
+Unsere Website verwendet Cookies. Das sind kleine Textdateien, die Ihr Webbrowser auf Ihrem Endgerät speichert. Cookies
+helfen uns dabei, unser Angebot
+nutzerfreundlicher, effektiver und sicherer zu machen.
+
+Einige Cookies sind “Session-Cookies.” Solche Cookies werden nach Ende Ihrer Browser-Sitzung von selbst gelöscht.
+Hingegen bleiben andere Cookies auf Ihrem Endgerät bestehen, bis Sie diese selbst löschen. Solche Cookies helfen uns,
+Sie bei Rückkehr auf unserer Website wiederzuerkennen.
+
+Mit einem modernen Webbrowser können Sie das Setzen von Cookies überwachen, einschränken oder unterbinden. Viele
+Webbrowser lassen sich so konfigurieren, dass Cookies mit dem Schließen des Programms von selbst gelöscht werden. Die
+Deaktivierung von Cookies kann eine eingeschränkte Funktionalität unserer Website zur Folge haben.
+
+Das Setzen von Cookies, die zur Ausübung elektronischer Kommunikationsvorgänge oder der Bereitstellung bestimmter, von
+Ihnen erwünschter Funktionen notwendig sind, erfolgt auf Grundlage von Art. 6 Abs. 1 lit. f DSGVO. Als
+Betreiber dieser Website haben wir ein berechtigtes Interesse an der
+Speicherung von Cookies zur technisch fehlerfreien und reibungslosen Bereitstellung unserer Dienste. Sofern die Setzung
+anderer Cookies (z.B. für
+Analyse-Funktionen) erfolgt, werden diese in dieser Datenschutzerklärung separat behandelt.
+
+## Übermittlung von Daten an Dritte
+
+Träwelling kann Dritte mit der Erhebung, Speicherung und
+Nutzung von personenbezogenen Daten beauftragen (Auftragsverarbeitung). In diesem Fall bleibt Träwelling weiterhin
+verantwortliche Stelle. Diese Dritten unterliegen denselben Datenschutzbestimmungen wie Träwelling. Diese Übermittlungen
+erfolgt auf der Grundlage Ihrer Einwilligung im Sinne des Art. 6 Abs. 1 lit. a DSGVO.
+
+### Behörden
+
+Träwelling gibt personenbezogene Daten an Behörden, andere staatliche Stellen oder Privatpersonen weiter,
+wenn dazu auf Grund von gesetzlichen Bestimmungen, Gerichtsentscheidungen oder behördlichen Anordnungen eine
+Verpflichtung besteht. Hierzu besteht mit Art. 6 Abs. 1 lit. c DSGVO eine rechtliche Grundlage.
+
+### Fediverse
+
+Träwelling bietet die Möglichkeit, Reisedaten (Checkins) auf Wunsch des Nutzers an einen Fediverse-Dienst
+weiterzuleiten und dort zu veröffentlichen. Dies geschieht ausschließlich, wenn der Nutzer dies beim jeweiligen
+Checkin explizit auswählt.
+
+### Drittanwendungen
+
+Träwelling stellt eine öffentliche API inklusive Webhook-Funktionalität bereit, über die Drittanwendungen auf Daten
+zugreifen können. Die Einwilligung in einen Datenaustausch erfolgt über eine Berechtigungsabfrage an den Nutzer. Dort werden die angeforderten Berechtigungen (Scopes) der Drittanwendung aufgelistet und können akzeptiert oder abgelehnt werden.
+Autorisiert ein Nutzer eine Drittanwendung, erhält diese einen persönlichen Zugriffstoken und kann
+im Rahmen der vom Nutzer erteilten Berechtigungen nicht-öffentliche Inhalte einsehen sowie Daten
+erstellen, bearbeiten und löschen. Auf die Verarbeitung,
+Speicherung oder Weitergabe dieser Daten durch solche Drittanwendungen hat Träwelling keinerlei Einfluss. Für die
+Datenverarbeitung durch Drittanwendungen ist deren jeweiliger Anbieter verantwortlich.
+
+## Single-Sign-On-Anmeldung
+
+Als "Single-Sign-On" bzw. "Single-Sign-On-Anmeldung"/"-Authentifizierung" werden Vorgänge bezeichnet, die es Nutzern
+erlauben, sich mit Hilfe eines Kontos bei einem Anbieter bzw. Dienstleister für Single-Sign-On-Verfahren (bspw. ein
+soziales Netzwerk), auch bei unserem Onlineangebot anzumelden. Voraussetzung hierfür ist, dass die Nutzer beim
+jeweiligen Anbieter registriert sind und bei dem Single-Sign-On-Anbieter bereits angemeldet sind und die
+Single-Sign-On-Anmeldung über eine Schaltfläche bestätigen.
+
+Die Authentifikation erfolgt direkt beim jeweiligen Single-Sign-On-Anbieter.
+Im Rahmen einer solchen Authentifikation erhalten wir eine Nutzer-ID sowie im Fall von Fediverse-Diensten Tokens, welche uns ermöglichen, auf das Fediverse-Konto des Nutzers zuzugreifen.
+Dies umfasst insbesondere das Lesen von Profilinformationen (z.B. Anzeigename, Benutzername, Profilbild, Biografie) sowie das Lesen, Veröffentlichen, Bearbeiten und Löschen von Beiträgen.
+Ob uns zusätzliche Daten übermittelt werden, hängt von dem genutzten Single-Sign-On-Verfahren
+ab, von den gewählten Datenfreigaben im Rahmen der Authentifizierung und zudem davon, welche Daten Nutzer in den
+Privatsphäre- oder sonstigen Einstellungen des Nutzerkontos beim Single-Sign-On-Anbieter freigegeben haben. Es können je
+nach Single-Sign-On-Anbieter und der Wahl der Nutzer verschiedene Daten sein, in der Regel sind es die E-Mail-Adresse
+und der Benutzername. Das im Rahmen des Single-Verfahrens eingegebene Kennwort beim Anbieter ist für uns weder
+nach Single-Sign-On-Anbieter und der Wahl der Nutzer verschiedene Daten sein, einschließlich aber nicht beschränkt auf die Nutzer-ID, die E-Mail-Adresse, den Benutzernamen, den Anzeigenamen und nach zusätzlicher Einwilligung das Profilbild. Das im Rahmen des Single-Verfahrens eingegebene Kennwort beim Anbieter ist für uns weder
+
+Nutzer werden gebeten, zu beachten, dass die bei uns hinterlegten Daten automatisch mit ihrem Nutzerkonto beim
+Single-Sign-On-Anbieter abgeglichen werden können, dies jedoch nicht immer der Fall ist. Ändern sich z.B. die
+E-Mail-Adressen der Nutzer, müssen sie diese manuell in ihrem Nutzerkonto bei uns ändern.
+
+Die Single-Sign-On-Anmeldung können wir, sofern mit den Nutzern vereinbart, im Rahmen der oder vor der Vertragserfüllung
+einsetzen, soweit die Nutzer darum gebeten wurden, im Rahmen einer Einwilligung verarbeiten und setzen sie ansonsten auf
+Grundlage der berechtigten Interessen unsererseits und der Interessen der Nutzer an einem effektiven und sicheren
+Anmeldesystem ein.
+
+Sollten sich Nutzer entscheiden, die Verknüpfung beim Single-Sign-On-Anbieter nicht mehr für das
+Single-Sign-On-Verfahren nutzen zu wollen, müssen sie diese Verbindung innerhalb ihres Nutzerkontos beim
+Single-Sign-On-Anbieter und in Ihren Einstellungen auf unserer Seite aufheben. Möchten Nutzer deren Daten bei uns
+löschen, müssen sie ihre Registrierung bei uns kündigen.
+
+- Verarbeitete Datenarten: Bestandsdaten (z.B. Namen, Adressen), Kontaktdaten (z.B. E-Mail, Telefonnummern).
+- Betroffene Personen: Nutzer (z.B. Webseitenbesucher, Nutzer von Onlinediensten).
+- Zwecke der Verarbeitung: Vertragliche Leistungen und Service, Anmeldeverfahren.
+- Rechtsgrundlagen: Einwilligung (Art. 6 Abs. 1 S. 1 lit. a DSGVO), Vertragserfüllung und vorvertragliche Anfragen (Art.
+  6 Abs. 1 S. 1 lit. b. DSGVO), Berechtigte Interessen (Art. 6 Abs. 1 S. 1 lit. f. DSGVO).
+
+## Eingesetzte Dienste und Diensteanbieter:
+
+- Fediverse Single-Sign-On (Mastodon-kompatibel): Authentifizierungsdienst; Dienstanbieter: Dieser ist abhängig von
+  der von Ihnen angegebenen Domain. Für weitere Informationen zu Dienstanbieter, Datenschutzerklärung und
+  Widerspruchsmöglichkeit wenden Sie sich bitte an den Betreiber Ihres Fediverse-Dienstes.
+
+### Carto
+
+Diese Seite nutzt Kartenkacheln von [Carto](https://carto.com/) zur Darstellung von Kartenmaterial. Beim Laden von
+Kartenkacheln wird Ihre IP-Adresse an den Server des Anbieters übertragen. Weitere Informationen zur Datenverarbeitung
+entnehmen Sie der Datenschutzerklärung des Anbieters: <https://carto.com/privacy/>
+
+### OpenRailwayMap
+
+Diese Seite nutzt Kartenkacheln von [OpenRailwayMap](https://www.openrailwaymap.org/) zur Darstellung von
+Eisenbahninfrastruktur. Beim Laden von Kartenkacheln wird Ihre IP-Adresse an den Server des Anbieters übertragen.
+Weitere Informationen zur Datenverarbeitung entnehmen Sie dem Impressum des
+Anbieters: <https://www.openrailwaymap.org/imprint-de.html>
+
+### OpenFreeMap
+
+Diese Seite nutzt Kartenkacheln von [OpenFreeMap](https://openfreemap.org/) zur Darstellung von Kartenmaterial.
+Beim Laden von Kartenkacheln wird Ihre IP-Adresse an den Server des Anbieters übertragen. Weitere Informationen zur
+Datenverarbeitung entnehmen Sie der Datenschutzerklärung des Anbieters: <https://openfreemap.org/privacy/>