Logbuch Klimaticket – Datenschutzhinweise

Datenschutzhinweise der infas Institut für angewandte Sozialwissenschaft GmbH und MOTIONTAG GmbH für die Teilnahme Datenschutzhinweise der infas Institut für angewandte Sozialwissenschaft GmbH und MOTIONTAG GmbH für die Teilnahme an der Nachfrageerhebung Klimaticket mit der App „Logbuch Klimaticket“

Stand: 30.09.2021

Im Folgenden informiert das Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie (BMK) (im Folgenden „BMK“) als datenschutzrechtlich verantwortliche Stelle und die infas Institut für angewandte Sozialwissenschaft GmbH (infas) und die MOTIONTAG GmbH (MOTIONTAG) als Auftragsverarbeiter (im Folgenden „wir“) Sie über die Verarbeitung Ihrer personenbezogenen Daten im Zusammenhang mit Ihrer Teilnahme an der Nachfrageerhebung Klimaticket und die Ihnen nach den Datenschutzgesetzen zustehenden Rechte.

Ziel des Projekts ist die Erhebung von Daten zur Ermittlung der Nachfrage des Klimatickets Österreich. Das Projekt ist auf Dauer angelegt. Ein Endzeitpunkt ist nicht vorgesehen. Als Teilnehmende haben Sie aber jederzeit die Möglichkeit Ihre Teilnahme zu beenden.

Durch die Akzeptanz der Teilnahmebestimmungen sichern Sie zu, dass Sie das auf Sie registrierte Mobiltelefon ausschließlich selbst nutzen. Eine Weitergabe des Mobiltelefons an Dritte ist nicht zulässig. Sollte Ihr Mobiltelefon, das Sie für Ihre Teilnahme an dem Projekt benutzen, versehentlich durch andere Personen genutzt werden, verarbeiten wir auch deren Daten. Informieren Sie in diesem Fall bitte auch diese Personen über den Inhalt dieser Datenschutzerklärung.

1. Verantwortliche Stelle der Datenverarbeitung

Für das Projekt trägt die folgende Organisation die Verantwortung i. S. d. Art. 4 Z 7 DSGVO: Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität,
Innovation und Technologie (BMK)
Sektion II – Infrastrukturplanung und -finanzierung, Koordination
Radetzkystraße 2
A-1030 Wien

2. Kontaktdaten der Datenschutzbeauftragten

Verantwortliche Stelle der Datenverarbeitung:

BMK
Datenschutzbeauftragte Frau Mag. Claudia Sterkl
Radetzkystraße 2
1030 Wien
E-Mail: datenschutz@bmk.gv.at

Auftragsdatenverarbeiter:
infas Institut für angewandte Sozialwissenschaft GmbH
Datenschutzbeauftragter Herr Christian Dickmann
Friedrich-Wilhelm-Straße 18
53113 Bonn
E-Mail: datenschutz@infas.de

und

MotionTag GmbH
Datenschutzbeauftragter
Rudolf-Breitscheid-Str. 162
14482 Potsdam
E-Mail: datenschutz@motion-tag.com

Externer Datenschutzbeauftragter:
Roman Maczkowsky
m-privacy GmbH
Werner-Voß-Damm 62
12101 Berlin

3. Personenbezogene Daten

Personenbezogene Daten sind alle Informationen, die sich auf eine identifizierte oder identifizierbare natürliche Person (im Folgenden „betroffene Person“) beziehen.

4. Zweck und Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten personenbezogene Daten ausschließlich im Rahmen der datenschutzrechtlichen Vorgaben.

4.1 Erhebung von Mobilitätsdaten

Mit dem Klimaticket wird in Österreich ein neues Ticket-Angebot geschaffen, mit dem die Nutzung des öffentlichen Verkehrs gestärkt werden soll. Um besser zu verstehen, zu welchen Anlässen und auf welchen Strecken das Klimaticket genutzt wird, wird die App „Logbuch Klimaticket“ eingesetzt. Mit der App wird die Verkehrsleistung gemessen, die von den Verkehrsunternehmen bei der Nutzung des Klimatickets erbracht wird.

Die App zeichnet die Mobilität der Teilnehmenden automatisch auf. Die Teilnehmenden werden dadurch nicht mit dem Ausfüllen von Fragebögen belastet.

Die Auswertungen der ermittelten Daten erfolgen nur auf Basis pseudonymisierter (quasi anonymer) Daten, welche keine Rückschlüsse auf einzelne Teilnehmende zulassen. Dennoch weisen wir vorsorglich darauf hin, dass durch wiederkehrende Aufenthaltsorte Rückschlüsse auf Ihren Wohn- und Arbeitsort und damit auf Sie selbst gezogen werden könnten. Um dies zu verhindern, wurden Vorkehrungen getroffen, die unter Ziffer 6 (Auftragsverarbeitung) zu finden sind.

4.2 Rechtsgrundlagen der Datenverarbeitung

Wir verarbeiten Ihre personenbezogenen Daten im Rahmen der Nachfrageerhebung Klimaticket, weil Sie uns hierzu Ihre Einwilligung erteilt haben. Die Rechtsgrundlage ist daher Art. 6 Abs. 1 a) DSGVO.

Nur hinsichtlich des Kundendienstes (siehe Ziffer 5.2) ist die Rechtsgrundlage Art. 6 Abs. 1 f) DSGVO.

5. Datenverarbeitungen im Rahmen Ihrer Teilnahme an der Nachfrageerhebung Klimaticket

Im Folgenden informieren wir Sie über die einzelnen Datenverarbeitungen, die im Rahmen Ihrer Teilnahme am Projekt erforderlich sind.

5.1 App

Als ersten Schritt Ihrer Teilnahme am Projekt installieren Sie sich die von infas zur Verfügung gestellte Smartphone-Applikation (nachfolgend „App“), über die Sie im Rahmen der Teilnahmebestimmungen Ihre Bewegungen und Ihr Mobilitätsverhalten im Alltag nachverfolgen können. Mit Eingabe Ihrer E-Mail, eines Passwortes und des Registrierungscodes auf der Registrierungsseite erklären Sie Ihr Einverständnis mit der Verarbeitung Ihrer personenbezogenen Daten, die im Rahmen der Nutzung der App und des Mobiltelefons für die hier beschriebenen Zwecke benötigt werden, und Sie stimmen der Geltung der Teilnahmebestimmungen zu.

5.1.1 Bewegungsdaten

Mit Hilfe der App erheben wir Ihre Bewegungsdaten (nachfolgend „Bewegungsdaten“). Auf Basis dieser Bewegungsdaten führen wir Verkehrsanalysen durch. Dies dient dem Ableiten von mobilitätsbezogenen Kennziffern (bspw. Modal-Split). Des Weiteren werden Wegezwecke anhand der tagesübergreifenden Aufenthaltsmuster bestimmt und räumliche Analysen vorgenommen.

Sobald Sie die Aufzeichnung in der App starten, werden Datenpunkte erhoben, die räumliche Koordinaten, Zeitpunkte und Bewegungszustände beinhalten. Wir haben Algorithmen entwickelt, welche diese Datenpunkte im Sinne von Etappen mit verschiedenen Verkehrsmitteln und zugehörigen Attributen wie Dauer und Länge interpretieren. Wenn Sie die App über mehrere Tage nutzen, werden mehrtägige Bewegungsprofile abgebildet.

Auch wenn die Bewegungsprofile pseudonymisiert erhoben werden, können durch wiederkehrende Aufenthaltsorte Rückschlüsse auf Wohn- und Arbeitsort und damit auf einzelne Personen gezogen werden. Auch wenn keine Identifikation der Teilnehmer vorgenommen wird, handelt es sich bei den erhobenen Bewegungsprofilen um personenbezogene Daten. Dementsprechend werden diese genauso sensibel behandelt wie Ihre persönlichen Anmeldedaten (E-Mail-Adresse).

Sowohl die App für das iOS-, als auch für das Android-Betriebssystem übermitteln von Ihrem mobilen Endgerät die folgenden Informationen an die MOTIONTAG GmbH:

  • das Mobiltelefon-Modell,
  • die Version des jeweiligen Betriebssystems,
  • die Version der App,
  • Standortdaten (GPS-Koordinaten) und
  • die vom Mobiltelefon vorausgewertete Bewegungsaktivität (z.B. „motorisiert“ oder „zu Fuß“).

Zudem werden von der MOTIONTAG GmbH folgende Daten in der App erhoben:

  • Primäre Identifikationsdaten
    • E-Mail-Adresse zur Kontaktaufnahme
    • Anmeldeinformationen zur Anmeldung über die App (E-Mail-Adresse)
  • Smartphone-Applikation
    • Zeitpunkt der Lokalisierung
    • Geo-Koordinaten und Genauigkeit (vom GPS-Chip ermittelt)
    • Beschleunigungswerte (über Sensoren im Mobiltelefon ermittelt)
    • Kreiselsensor-/Gyroskopwerte (über Sensoren im Mobiltelefon ermittelt)
    • Barometer-/Luftdruckdaten (über Sensoren im Mobiltelefon ermittelt)
    • Magnetometer (über Sensoren im Mobiltelefon ermittelt)
    • Bewegungsaktivität aus Betriebssystem
    • Erkennungssicherheit (Konfidenz) der Bewegungsaktivität

Alle weiteren Informationen wie das genutzte Verkehrsmittel oder der Wegezweck werden anhand von Algorithmen auf Basis dieser Eingangsdaten sowie durch einen Abgleich mit Geodaten (sog. „Geomatching“) berechnet und zu dem Bewegungsprofil hinzu gespeichert. Die Geodaten beinhalten Daten des OpenStreetMap-Projekts.

5.1.2 Verarbeitung der Bewegungsdaten

Nach der Aufzeichnung mit der App werden die in 5.1.1 dargestellten Daten bei WLAN-Verbindung oder, falls eingeschaltet, über mobile Daten an den Server der MOTIONTAG GmbH an ein Rechenzentrum übertragen und dort in einer Datenbank gespeichert. Das Rechenzentrum ist nach ISO/IEC 27001 zertifiziert. ISO/IEC 27001 ist die internationale Norm für ein dokumentiertes Informationssicherheits-Management-System.

Die Übertragung der durch die App erhobenen Daten erfolgt ausschließlich unter Anwendung gesicherter Verschlüsselungsverfahren. Auf dem Server der MOTIONTAG GmbH werden die Rohdaten mit Hilfe der in Ziff. 5.1.1 beschriebenen Analysen verarbeitet.

5.1.3 Zusätzliche Befragungen

Um mehr über die Nutzung des Klimatickets zu erfahren, z.B. wie zufrieden sie mit dem Angebot sind, planen wir in unregelmäßigen Abständen zusätzliche Befragungen durchführen. Zu diesen Befragungen werden wir Sie per E-Mail über ihre bei der Registrierung angegebene E-Mail-Adresse oder innerhalb der App kontaktieren. Die Teilnahme daran ist freiwillig und bei Nicht-Teilnahme entstehen Ihnen keine Nachteile.

5.1.4 Speicherung von Daten in der App

In der App wird, neben den erhobenen Datenpunkten selbst, nur die E-Mail für den Login der letzten Nutzung gespeichert. Dies vereinfacht den erneuten Login, da die E-Mail nicht erneut eingegeben werden muss. Passwörter und weitere nutzerbezogene Daten werden nicht gespeichert. Im Anschluss an die Übertragung der Datenpunkte an den Server werden diese in der App gelöscht.

5.1.5 Kontaktaufnahme

Sofern im Rahmen der Durchführung der Studie eine Kontaktaufnahme mit Ihnen erforderlich ist, z.B. wenn wir technische Fehler bei der Datenerhebung bemerken oder wir Sie über wichtige Neuigkeiten im Projekt informieren müssen, nutzen wir dazu die E-Mail-Adresse, die Sie bei der Registrierung verwendet haben.

5.2 Kundenservice Bei technischen Störungen haben Sie die Möglichkeit sich an den von infas bereitgestellten Kundenservice zu wenden, indem Sie eine E-Mail an klimaticket-app@infas.at schreiben. Ihre personenbezogenen Daten werden ausschließlich dazu verwendet, Ihr Anliegen zu bearbeiten. Ihre Anfrage(n) wird bzw. werden bis zum Ende des Erhebungszeitraumes der App aufbewahrt, um bei mehreren Anfragen auf Ihre Historie zurückblicken zu können und die dort gelösten Fragen für die Beantwortung einer neuen Anfrage verwenden zu können.

6. Auftragsverarbeiter

Mit der Erhebung und Auswertung der in Ziffer 5 beschriebenen Daten hat das BMK zwei Dienstleister beauftragt:

infas Institut für angewandte
Sozialwissenschaft GmbH
Friedrich-Wilhelm-Straße 18
D-53113 Bonn

und

MOTIONTAG GmbH
Rudolf-Breitscheid-Str. 162
D-14482 Potsdam
Tel. +49 (0)30 40 366 95 22

Das BMK hat mit infas und mit MOTIONTAG einen Auftragsverarbeitungsvertrag (AVV) nach den Vorgaben des Art. 28 DSGVO geschlossen. Nach diesem AVV regelt sich der Zugriff auf Ihre personenbezogenen Daten, deren Verarbeitung nur aufgrund Ihrer Einwilligung möglich ist.

infas und MOTIONTAG verarbeitet Ihre personenbezogenen Daten nur in Deutschland. Daten werden nur an die unter Ziffer 6.1 und 6.2 genannten Dienstleister weiter gegeben. Darüber hinaus findet keine Weitergabe von Daten statt.

MOTIONTAG verarbeitet die Daten auf einem nach ISO/IEC 27001:2013, 27017:2015, 27018:2019 und ISO/IEC 9001:2015 zertifizierten Server der Amazon Web Services Inc.

Darüber hinaus bedient sich MOTIONTAG der folgenden Dienstleister:

6.1 Firebase Crashlytics

Hierbei handelt es sich um ein Software Development Kit (SDK) der Google LLC für Crash-Reporting und Anwendungsprotokollierung. Der Service wird eingesetzt, um Fehler der App nachvollziehen zu können. Weitere Informationen sind unter der Adresse https://firebase.google.com abrufbar.

6.2 Kartendarstellungen

Die App zeigt im Hintergrund eine Kartendarstellung an. Um die zur Kartendarstellung notwendigen Grafiken laden zu können und diese Grafiken anzufordern, werden Anfragen an den Kartendienstbetreiber Google geschickt. Innerhalb dieser Anfrage wird dem Kartendienstbetreiber die IP-Adresse der Teilnehmer übermittelt.

Bei der Verwendung des Betriebssystems Android nutzt das in der App eingesetzte Software Development Kit (SDK) “Maps SDK for Android” den Kartendienst Google Maps der Google LLC (1600 Amphitheatre Parkway, Mountain View, California 94043, USA). Die Datenschutzerklärung finden sich für Google unter https://policies.google.com/privacy?hl=de.

Bei der Nutzung des Betriebssystems iOS nutzt das verwendete SDK “MapKit” den Kartendienst Apple Maps der Apple Inc. (One Apple Park Way, Cupertino, California, USA, 95014). Die Datenschutzerklärung findet sich für Apple unter https://www.apple.com/legal/privacy/de-ww/

6.3 Datenübermittlung in die USA:

Nachdem Produkte (Software) von US-Dienstleistern (wie z.B. Google) zum Einsatz kommen, kann eine Übermittlung Ihrer personenbezogenen Daten (z.B. IP-Adresse) in die USA nicht ausgeschlossen werden. Ihre Daten werden nach Möglichkeit nur innerhalb Europas verarbeitet, allerdings kann aufgrund gesetzlicher Bestimmungen der USA eine Datenübermittlung in bestimmten Fällen nicht ausgeschlossen werden – etwa wenn Dienstleister eines US-Konzerns eingesetzt werden und eine US-Behörde die jeweiligen Kundendaten anfordert.

Sie werden hiermit darüber informiert, dass der Europäische Gerichtshof die USA als ein Land mit einem nicht angemessenen Datenschutzniveau attestiert hat. Insbesondere besteht das Risiko, dass US-Behörden und Nachrichtendienste auf die personenbezogenen Daten zugreifen und diese zu Kontroll- und Überwachungszwecken nutzen. Die Durchsetzung der Betroffenenrechte ist in den USA nicht durch entsprechende Rechtsschutzinstrumente gewährleistet. Um Ihre Daten vor derartigen Zugriffen zu schützen, werden diese pseudonymisiert und nur verschlüsselt übertragen (siehe 5.2.1). 

7. Weitere Empfänger personenbezogener Daten

Auf vertraglicher Grundlage verarbeiten auch Empfänger außerhalb unserer Unternehmen, die nicht im Rahmen der Auftragsverarbeitung für uns tätig sind, im erforderlichen Umfang Ihre personenbezogenen Daten:

Rechtsanwälte bei Rechtstreitigkeiten
Diese Empfänger sind auf Grund gesetzlicher oder berufsständischer Pflichten oder vertraglichen Vereinbarungen zur Einhaltung des Datenschutzes verpflichtet.

8. Löschung personenbezogener Daten

Wir löschen personenbezogene Daten grundsätzlich, wenn sie für die o. g. Zwecke nicht mehr erforderlich sind. Nach dem Ende des Projektes werden Ihre personenbezogenen Daten, die zum Zwecke der effizienten Beantwortung Ihrer Fragen durch den Kundenservice gespeichert sind, gelöscht. Wenn Sie Ihre Einwilligung widerrufen, löschen wir sämtliche Daten, es sei denn, dies wäre aus gesetzlichen Gründen nicht möglich.

9. Ihre Rechte

Als betroffene Person im Sinne der DSGVO haben Sie grundsätzlich folgende Rechte:

  • Sie haben das Recht, Auskunft über Ihre verarbeiteten Daten zu erhalten (Art. 15 DSGVO). Senden Sie hierzu bitte eine E-Mail mit dem Betreff „Auskunftsbegehren“ an klimaticket-app@infas.at.
  • Wenn Sie unrichtige personenbezogene Daten berichtigen bzw. unvollständige Daten vervollständigen möchten (Art. 16 DSGVO), senden Sie hierzu bitte eine E-Mail mit dem Betreff „Änderung der Nutzerdaten“ an klimaticket-app@infas.at.
  • Sie haben unter bestimmten gesetzlichen Voraussetzungen ein Recht auf Löschung Ihrer personenbezogenen Daten (Art. 17 DSGVO). Senden Sie hierzu bitte eine E-Mail mit dem Betreff „Löschungsbegehren“ an klimaticket-app@infas.at.
  • Sie haben unter bestimmten gesetzlichen Voraussetzungen ein Recht auf Einschränkung der Verarbeitung (Art. 18 DSGVO). Senden Sie hierzu bitte eine E-Mail mit dem Betreff „Einschränkung der Datenverarbeitung“ an klimaticket-app@infas.at.
  • Sie haben unter bestimmten gesetzlichen Voraussetzungen ein Recht auf Erhalt oder Übertragung der Sie betreffenden personenbezogenen Daten (Art. 20 DSGVO). Senden Sie hierzu bitte eine E-Mail mit dem Betreff „Änderungsbegehren“ an klimaticket-app@infas.at.
  • Sie haben das Recht, Ihre abgegebenen Einwilligungen in die Verarbeitung Ihrer personenbezogenen Daten jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der auf Grund der Einwilligung bis zum Widerruf erfolgten Verarbeitung bleibt dabei vom Widerruf unberührt. Wie Sie den Widerruf erklären können, teilen wir Ihnen bei Einholung der Einwilligung mit. Alternativ senden Sie bitte eine E-Mail mit dem Betreff „Löschungsbegehren“ an klimaticket-app@infas.at.
  • Sie haben unter bestimmten gesetzlichen Voraussetzungen ein Recht auf Widerspruch. Hierüber informieren wir Sie in der folgenden Ziffer dieser Datenschutzerklärung.


Sie können sich mit Ihrem Anliegen alternativ auch schriftlich an uns wenden:

Verantwortliche Stelle der Datenverarbeitung:
Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität, Innovation und Technologie
Radetzkystraße 2
1030 Wien

Datenschutzbeauftragte
Frau Mag. Claudia Sterkl

E-Mail: datenschutz@bmk.gv.at

Auftragsdatenverarbeiter:

infas Institut für angewandte Sozialwissenschaft GmbH
Datenschutzbeauftragter
Herr Christian Dickmann
Friedrich-Wilhelm-Straße 18
53113 Bonn

E-Mail: datenschutz@infas.de

MOTIONTAG GmbH
Datenschutzbeauftragter
Rudolf-Breitscheid-Str. 162
14482 Potsdam

E-Mail: datenschutz@motion-tag.com

Externer Datenschutzbeauftragter:
Roman Maczkowsky
m-privacy GmbH
Werner-Voß-Damm 62
12101 Berlin

Darüber hinaus haben Sie das Recht auf Beschwerde bei einer Aufsichtsbehörde (Art. 77 DS-GVO). Sie können sich hierzu an die österreichische Datenschutzbehörde wenden.


10. Ihr Widerspruchsrecht (Art. 21 DS-GVO)

Sie haben das Recht, aus Gründen, die sich aus Ihrer besonderen Situation ergeben, jederzeit gegen die Verarbeitung Ihrer personenbezogenen Daten, die auf Grundlage von Art. 6 Abs. 1 f) DSGVO erfolgt, Widerspruch einzulegen; dies gilt auch für ein auf diese Bestimmungen gestütztes Profiling. Wir verarbeiten Ihre personenbezogenen Daten dann nicht mehr für diese Zwecke, es sei denn, wir können zwingende schutzwürdige Gründe für die Verarbeitung nachweisen, die Ihre Interessen, Rechte und Freiheiten überwiegen, oder die Verarbeitung dient der Geltendmachung, Ausübung oder Verteidigung von Rechtsansprüchen. Solche Widersprüche können Sie über die Verantwortliche Stelle der Datenverarbeitung

Bundesministerium für Klimaschutz, Umwelt, Energie, Mobilität,
Innovation und Technologie
Sektion II – Infrastrukturplanung und -finanzierung, Koordination
Radetzkystraße 2
A-1030 Wien

E-Mail: datenschutz@bmk.gv.at

oder den Auftragsdatenverarbeiter  (infas Institut für angewandte Sozialwissenschaft GmbH, Datenschutzbeauftragter Herr Christian Dickmann, Friedrich-Wilhelm-Straße 18, 53113 Bonn, datenschutz@infas.de oder MOTIONTAG GmbH, Datenschutzbeauftragter, Rudolf-Breitscheid-Str. 162, 14482 Potsdam, datenschutz@motion-tag.com) einlegen.


11. Änderungen der Datenschutzhinweise

Da Gesetzesänderungen oder Änderungen unserer unternehmensinternen Prozesse eine Anpassung dieses Datenschutzhinweises erforderlich machen können, die wir uns entsprechend vorbehalten, bitten wir Sie, diese Datenschutzhinweise unter https://infas.at/klimaticket-app/datenschutz regelmäßig abzurufen.