Datenschutzerklärung
Hinweis: Diese Datenschutzerklärung wird vor dem Launch noch juristisch geprüft.
Verantwortlicher
Fari Software GmbH
Otto-Lilienthal-Str. 36
71034 Böblingen
E-Mail: bivako@fari-software.de
Überblick
Bivako ist eine Wanderkarte auf Basis von OpenStreetMap. Wir erheben keine Nutzerkonten, kein Tracking und keine Werbe-Cookies. Die folgende Tabelle listet alle Verarbeitungsvorgänge.
Bivako verwendet keine Tracking-Cookies. LocalStorage wird ausschließlich für lokale Funktionen genutzt (Export-Counter, Client-ID für Audit-Trail) — keine Übertragung an Server. Cookie-Consent-Handling wird separat geregelt (Issue #267).
Verarbeitungsvorgänge
1. Server-Logs (IP-Adressen)
| Was | IP-Adresse, Zeitstempel, HTTP-Methode, Pfad, HTTP-Statuscode |
|---|---|
| Wer erhebt | Kubernetes Gateway (nginx) und FastAPI-Backend |
| Zweck | Betrieb und Sicherheit des Dienstes (Fehleranalyse, Abwehr von Angriffen) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse |
| Aufbewahrung | Kubernetes-Standard (laufende Rotation); keine separate Langzeitspeicherung |
| Weitergabe | Keine |
2. Standortabfrage (Geolocation)
| Was | Gerätestandort (Koordinaten) |
|---|---|
| Wer erhebt | Browser (Web API), auf explizite Nutzer-Anfrage |
| Zweck | Karte auf aktuellen Standort zentrieren |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (Nutzung der App) |
| Aufbewahrung | Nur im Arbeitsspeicher; kein Server-Roundtrip, keine Speicherung |
| Weitergabe | Keine |
3. Kachel-Hosting (Kartendaten)
| Was | IP-Adresse beim Abruf von Kartenkacheln (.pmtiles) |
|---|---|
| Wer erhebt | Hetzner Online GmbH (Object Storage, Rechenzentrum Nürnberg, DE) |
| Zweck | Ausliefern der Kartendaten |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse |
| Aufbewahrung | Hetzner-Standard (Access-Logs) |
| Weitergabe | Hetzner Online GmbH als Auftragsverarbeiter
(AVV liegt vor). Hetzner Datenschutz |
4. PDF-Export — LocalStorage
| Was | Export-Zähler (exportCountStore), Client-ID-Hash (client_id) |
|---|---|
| Wer erhebt | Browser (LocalStorage) |
| Zweck | Freikontingent (3 kostenlose Exporte) lokal nachverfolgen |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung |
| Aufbewahrung | Im Browser des Nutzers; kein Server-Roundtrip |
| Weitergabe | Keine |
5. PDF-Export — Audit-Trail (Server)
| Was | Hash der Client-ID (client_id_hash),
Hash der GPX-Route (gpx_track_hash),
Hash der creem-Order-ID (lemonsqueezy_order_id_hash),
Zeitstempel,
Bounding Box (bbox),
Export-Format (format),
Seitenzahl (page_count),
Bezahlt-Flag (paid),
Betrag (price_eur),
Verarbeitungsstatus (status) |
|---|---|
| Wer erhebt | Bivako-Backend (Tabelle pdf_exports) |
| Zweck | Missbrauchsprävention und Abrechnung (R-09-15) |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. f DSGVO — berechtigtes Interesse (Schutz vor Missbrauch) |
| Aufbewahrung | 2 Jahre. Danach Anonymisierung: lemonsqueezy_order_id und client_id_hash werden gelöscht oder überschrieben — verbleibende Zeilen sind nicht mehr personenbeziehbar. |
| Weitergabe | Keine (Hashes, keine PII) |
6. creem-Checkout
| Was | E-Mail-Adresse, Zahlungsdaten (Karte, PayPal etc.) |
|---|---|
| Wer erhebt | creem (Armitage Labs OÜ, Telliskivi Street 57b/1, Tallinn 10412, Estland (EU)) — Merchant of Record |
| Zweck | Zahlungsabwicklung für kostenpflichtige PDF-Exporte |
| Rechtsgrundlage | Art. 6 Abs. 1 lit. b DSGVO — Vertragserfüllung (creem ist EU-ansässig; kein Drittland-Transfer) |
| Aufbewahrung | Nach creem-Richtlinien (als MoR gesetzlich zur Aufbewahrung verpflichtet) |
| Weitergabe | creem (Armitage Labs OÜ) fungiert als Merchant of Record und ist in dieser Funktion
eigenverantwortlicher Datenverantwortlicher (Controller) für die Zahlungsabwicklung
gegenüber dem Endkunden (Käufer-E-Mail, Zahlungsdaten, Rechnungserstellung). Für die
Datenkategorien, die Bivako an creem übermittelt (Produktbezeichnung, Preis, interne
Export-ID), besteht zusätzlich ein Auftragsverarbeiter-Verhältnis. Der entsprechende AVV
ist in Vorbereitung. Der endgültige juristische Wortlaut wird vor dem Launch finalisiert. creem Datenschutz |
Geplante Verarbeitungen (nicht aktiv)
Folgende Funktionen sind geplant und werden vor Aktivierung separat dokumentiert:
- Community-Kommentare (Issue #296): Weiterleitung von Korrekturen an OpenStreetMap — Inhalt und Rechtsgrundlage folgen.
- Spam-Schutz / Captcha (Issue #297): Anbieter und Rechtsgrundlage noch offen.
- LLM-gestützte Plausibilitätsprüfung (Issue #298): Anbieter und Datenkategorien noch offen.
Betroffenenrechte
Du hast das Recht auf Auskunft, Berichtigung, Löschung, Einschränkung der Verarbeitung, Datenübertragbarkeit und Widerspruch. Wende dich dazu an: bivako@fari-software.de
Du hast außerdem das Recht, dich bei einer Datenschutz-Aufsichtsbehörde zu beschweren (zuständig: Landesbeauftragter für den Datenschutz und die Informationsfreiheit Baden-Württemberg).