Verzeichnis der Verarbeitung personenbezogener Daten
Die folgende Tabelle bietet eine Übersicht darüber, wie HAFAS-Produkte Daten verarbeiten. Sie listet die Produktmodule, die spezifischen Funktionen, die Art der verarbeiteten personenbezogenen Daten (falls vorhanden) und den Zweck dieser Verarbeitung auf. Diese Transparenz stellt sicher, dass Fahrgäste und Betreiber verstehen, welche Daten gesammelt werden, wie sie verwendet werden und warum dies für den Betrieb unserer Dienste notwendig ist.
|
Produkt
|
Funktion
|
Betroffene Personen (Fahrgast/Betreiber)
|
Personenbezogene Daten
|
Zweck
|
|---|---|---|---|---|
| HAFAS.analytics | Fremde Host-ID | Fahrgast | Hash-Code, abgeleitet von der IP-Adresse des Nutzers | Nutzerverhalten und -präferenzen verstehen; personalisierte Dienste ermöglichen (z.B. Routing); Belegungsberechnungen verbessern; unterscheiden, ob Anfragen von denselben oder verschiedenen Nutzern stammen (gespeichert im Analytics AWS-Konto) |
| HAFAS.analytics | Analytics-Nutzung von Matomo | Fahrgast | anonymisiert, keine personenspezifischen Daten | Maßgeschneiderte Berichte bereitstellen; automatisierte Warnmeldungen bei signifikanten Änderungen im Nutzerverhalten; kontinuierliche Verhaltensverfolgung über Kunden hinweg ermöglichen; über Standard-Matomo-Berichte hinaus (gespeichert im Analytics AWS-Konto) |
| HAFAS.analytics | Benutzerkonto in Analytics | Betreiber | Vorname, Nachname, E-Mail, Sprachpräferenz, Benutzerrollen und Berechtigungen | Personalisierten Zugang zum System gewähren. |
| HAFAS.engine | Reiseplaner | Fahrgast, Betreiber | Der Reiseplaner verwendet personenbezogene Informationen wie den aktuellen Standort, aufgezeichnete Fahrtverläufe und E-Mail-Adressen, um seine Dienste bereitzustellen. Beispiele, siehe Anwendungsanfrageprotokolle. | Daten werden verarbeitet, um den spezifischen Dienst zu betreiben. Im Allgemeinen ist der Reiseplaner bezüglich personenbezogener Daten zustandslos und speichert relevante Daten nur in Anwendungsanfrageprotokollen. |
| HAFAS.engine | Push-Benachrichtigungen | Fahrgast | Engine Push speichert Nutzerabonnements, die von Clients verwaltet werden. Konten werden vom Client verwaltet, eine anonyme ID, die als gemeinsames Geheimnis fungiert, verbindet Abonnements und Präferenzen. Der Push-Server von HAFAS.engine speichert: Nutzer - repräsentiert einen echten Nutzer. Daten: Präferenzen für Push-Eigenschaften (Sprache, Schwellenwerte, Pausen usw.; keine personenbezogenen Daten). Kanal - repräsentiert einen Ausgabekanal (z.B. ein Gerät oder eine E-Mail-Adresse). Daten: Gerätekennung, Registrierungs-ID, E-Mail-Adresse usw. Für Apps sind dies kryptische Zeichenfolgen, die in keiner Weise interpretiert werden können. Es sind Adressen, die nur Apple und Google erstellen und auflösen können. Die App empfängt die Adresse von Apple/Google und übermittelt sie an den Push-Server. Der Push-Server verwendet dann die Adresse, um eine Nachricht über den Dienst als Push-Nachricht zu senden. Bei einigen Kanaltypen kann der Kanal personenbezogene Daten enthalten (E-Mail-Adresse, Telefonnummer, Namen). Abonnement - repräsentiert ein einzelnes Abonnement. Daten: Informationen darüber, welche Objekte (Fahrt, Zug, ...) bezüglich welcher Ereignisse (Verspätungen, Bahnsteigwechsel, ...) zu welchen Zeiten (Tage, Uhrzeiten) beobachtet werden sollen. Es werden keine personenbezogenen Daten gespeichert. Es ist theoretisch möglich, den Wohn- oder Arbeitsort eines Nutzers durch komplexe Mustererkennung zu erschließen. Gesendetes Ereignis - eine gesendete Push-Nachricht und deren Inhalt. Abhängig von den konfigurierten Textvorlagen können personenbezogene Daten Teil der Nachricht sein oder auch nicht. Die Daten werden nach Ablauf des Abonnements (z.B. x Tage nach Ankunft einer Fahrt), bei Inaktivität des Nutzers (x Tage ohne Anfrage für eine Nutzer-ID) oder auf Client-Anfrage gelöscht. Eine Soft-Löschung für x Tage ist für Abonnements und gesendete Ereignisse möglich. Zusätzlich werden Protokolldateien (die alle der vorgenannten Objekte enthalten können) nach einer konfigurierbaren Zeitspanne gelöscht. Standardmäßig sind dies 7 Tage. | Betrieb des Push-Dienstes. |
| HAFAS.engine | Backoffice | Betreiber | Benutzerkonten mit administrativen Funktionen existieren in den Backoffice-UIs: API Manager, Push Backoffice, Datacockpit. Konten speichern Benutzernamen, Passwort, E-Mail, Rollen & Rechte zusätzlich zu domänenspezifischen Elementen. Konten werden auf Anfrage manuell gelöscht. In Fällen, in denen eine endgültige Löschung nicht möglich ist, z.B. um Quoteninformationen für Mandanten nicht zu verlieren, kann das Konto durch Anonymisierung "weich" gelöscht werden. | Betrieb des spezifischen Dienstes. |
| HAFAS.engine | Anwendungsanfrageprotokolle | Fahrgast, Betreiber | Anwendungs-Protokolle Anwendungs-Protokolle erweitern die normalen Server-Protokolle um anwendungsspezifische Informationen: Typischerweise wird die vollständige Anfragenutzlast wortgetreu protokolliert, wie sie über das Netzwerk empfangen wird. Bei mehreren Diensten können die protokollierten Anfragen personenbezogene Daten enthalten, zumindest in: Feedback-E-Mails - E-Mail-Adresse des Absenders. Fahrt teilen, Fahrtsuche teilen - E-Mail-Adressen von Absender und Empfänger. Reiseplanrekonstruktion für nachträglich bezahlte Reisen - Geo-Positionen und entsprechende Metadaten einer aufgezeichneten Reise. Stationsnamensabgleich, QR-Code-Auflösung, Fahrtsuche - Aktuelle Geo-Position des Nutzers. Push-Dienste - Nutzer-IDs, E-Mails, Reisepläne inkl. ursprünglicher Routing-Anfrage. ... Außerhalb von Push und Backoffice verfügt HAFAS.engine selbst über keine Benutzerkontenfunktion, so dass (außerhalb der E-Mail-Adressen) diese Daten nicht zur direkten Identifizierung von Nutzern verwendet werden können. Zusammenfassungen von Fahrtsuchanfragen inkl. Start- und Zielorten sowie Datum/Uhrzeit und technische Details zur Client-App werden an OBS Analytics weitergeleitet und dort verarbeitet. Anwendungsmetriken Metriken speichern technische Informationen zu jeder Anfrage, dies ist eine Untermenge der ansonsten protokollierten Informationen. Dies umfasst insbesondere: Fremder Host: Einweg-Hash der Client-IP-Adresse technische Informationen über Client, Anfrage, Verarbeitung und Ergebnis Protokolle und Metriken werden zur Überwachung der Systemstabilität, zur Diagnose laufender Probleme und zur Post-Mortem-Analyse verwendet. Protokolle und Metriken werden zu Qualitätssicherungszwecken verwendet (zusammen mit Fahrplandaten des öffentlichen Verkehrs und Echtzeitdaten), sie werden nicht hinsichtlich des Verhaltens einzelner Nutzer analysiert. Protokolle werden gelöscht, wenn technische Protokolle gelöscht werden. Auszüge aus Protokollen können für QA-Zwecke länger aufbewahrt werden. Metriken werden separat gespeichert und die Aufbewahrungsfrist ist länger. | Protokolle und Metriken werden zur Überwachung der Systemstabilität, zur Diagnose laufender Probleme und zur Post-Mortem-Analyse verwendet. Protokolle und Metriken werden zu Qualitätssicherungszwecken verwendet (zusammen mit Fahrplandaten des öffentlichen Verkehrs und Echtzeitdaten), sie werden nicht hinsichtlich des Verhaltens einzelner Nutzer analysiert. |
| HAFAS.engine | Integrierte Drittanbieterdienste | Fahrgast | Engine integriert mehrere Drittanbieterdienste, die Hacon nicht kontrollieren kann. Daten, die für den jeweiligen Dienst erforderlich sind, werden weitergeleitet. Diese agieren als unabhängige Datenverantwortliche gemäß Art. 6 Abs. 1 lit. f DSGVO. Mobilitätsdienstleister, GIS-Router und Tarifanbieter Elemente aus der Anwendungsanfrage werden an Drittanbieter weitergeleitet, einschließlich Start- und Zielorten der Anfrage und zusätzlicher Parameter, die zur Beeinflussung der Preisberechnung verwendet werden. Gängige Beispiele sind: Allgemeine Straßennetz-Routenplanung (Routing-Anfrage) Verfügbarkeitsprüfung für bedarfsgesteuerte Verkehre oder Fahrdienste (Reisepläne inkl. Routing-Anfrage) Externe Preisberechnung (Reisepläne inkl. Routing-Anfrage) Benachrichtigungszustellung Push-Benachrichtigungen werden unter Verwendung einer anonymisierten App-ID gesendet. Es ist nicht möglich, sie einzelnen Nutzern zuzuordnen. Push-Ausgabekanäle umfassen mehrere Drittanbieter und Software: z.B. Apple Push Notification Services (APNs) für Push an iOS, Googles Firebase Cloud Messaging (FCM) für Push an Android oder SMTP-Server und E-Mail-Infrastruktur zum Senden von E-Mails. Drittanbieter-Benachrichtigungsquelle Engine kann Reisepläne an Drittanbieter von Push-Benachrichtigungen weiterleiten, um zusätzliche Benachrichtigungsauslöser zu integrieren. | Betrieb des spezifischen Dienstes. |
| HAFAS.fleet | Benutzerkonto in Fleet | Betreiber | Vorname, Nachname, (optional) Kurzname, E-Mail, (optional) Telefonnummer, Benutzername, personalisierte Einstellungen (z.B. Sprachpräferenz), Passwort-Hash, zugewiesene Rolle(n). Gelöschte Konten werden nur für 3 Monate zur möglichen Wiederherstellung markiert. Nach 3 Monaten wird das Konto auch technisch gelöscht. | Personalisierten Zugang zum System gewähren. |
| HAFAS.fleet | Benutzeraktivität in Fleet | Betreiber | Letzte Aktivität: Das System verfolgt, wann ein Nutzer sich zuletzt angemeldet oder eine Aktion durchgeführt hat, Kommentare/Notizen, Betriebs-Protokolle (z.B. bei Anmeldung/Abmeldung). Der Umfang der (technischen) Protokolle wird projektbezogen definiert (typischerweise innerhalb eines Monats gelöscht). Für Endnutzer sichtbare Daten im Echtzeitarchiv werden typischerweise bis zu 1 Jahr gespeichert, dies kann jedoch in der spezifischen Umgebung angepasst werden. | Systemfehlerbehebung und Analyse von Sicherheitsvorfällen |
| HAFAS.fleet | Fahrerinformationen und -aktivitäten | Betreiber (Flottenfahrer) | Name (optional), Personal-ID (optional), Geräte-ID (IMEI oder Android-ID), Telefonnummer (optional), Konto, das für die Anmeldung in der Fahrer-App verwendet wird. Zugehörige Datenpunkte, die direkt oder indirekt über das verwendete Gerät mit personenbezogenen Daten verknüpft werden könnten: IP-Adresse des Geräts, Fahrzeug-ID, Block-ID, GPS-Trackpunkte (einschließlich Geschwindigkeit und Ausrichtung), An- und Abmeldezeiten, Textnachrichten, die mit Disponenten und anderen Fahrern ausgetauscht werden. Die meisten Daten werden sowohl auf dem Gerät des Fahrers als auch im Backend gespeichert (z.B. Plan-Echtzeitdaten, Echtzeitarchiv). Technische Protokolle im Backend und Archivdaten unterliegen der gleichen Aufbewahrungsfrist wie oben für "Benutzeraktivität in Fleet" erwähnt. Technische Protokolle der Fahrer-App werden aufgrund rotierender Protokolldateinamen in der Regel innerhalb einer Woche überschrieben. | Systemfehlerbehebung und Analyse von Sicherheitsvorfällen. Kommunikation zwischen Leitstelle (Fleet) und Fahrern ermöglichen und Betriebsdaten für Flottenmanagement und -überwachung sammeln. |
| HAFAS.hosting AWS | Application Load Balancer | Fahrgast | HTTP-Anfragedaten, IP-Adresse des Clients, IP-Adresse der Zielanwendung, Zeitstempel der Anfrage | Systemfehlerbehebung und Analyse von Sicherheitsvorfällen - nur auf Anfrage, nicht mit anderen Daten zusammengeführt |
| HAFAS.hosting AWS HAFAS.hosting on-premise | Server-Protokolldateien | Fahrgast | App-Typ, Browser-Typ/-Version, Betriebssystem, Referrer-URL, Hostname des Geräts, Zeitstempel der Anfrage, IP-Adresse | Speicherung technischer Informationen für den Betrieb; Fehlerbehebung ermöglichen; Systemsicherheit gewährleisten |
| HAFAS.info | Benutzerkonto in Info | Betreiber | Vorname, Nachname, Benutzername, E-Mail, Sprachpräferenz, Passwort-Hash, Benutzerrollen. Gelöschte Konten werden im Produkt nicht angezeigt, aber Kontoreferenzen werden in der Datenbank für die Info-Nachrichten aufbewahrt. | Personalisierten Zugang zum System gewähren. |
| HAFAS.info | Benutzeraktivität in Info | Betreiber | Technische Protokolle. Diese werden nach 14 Tagen gelöscht. Details zu Änderungen (z.B. Nachrichtenerstellung). | Systemfehlerbehebung und Analyse von Sicherheitsvorfällen. |
| HAFAS.journeyeditor | Benutzeraktivität im Journey Editor | Betreiber | Benutzername, Aktivität (bearbeitet von, letzte Änderung, wann Anmeldung/Abmeldung) Technische Protokolle. | Systemfehlerbehebung und Analyse von Sicherheitsvorfällen. |
| HAFAS.mobile | Google Analytics | Fahrgast | IP-Adresse, App-ID, Werbe-ID | Standortverfolgung, Sitzungsverfolgung, Nutzungsanalyse |
| HAFAS.mobile | Live-Navigation | Fahrgast | Speichert keine personenbezogenen Daten. | |
| HAFAS.mobile HAFAS.engine | Zustellung von Push-Benachrichtigungen | Fahrgast | Anonymisierte App-ID; Gerätekennung / Registrierungs-ID (kryptischer String von Apple/Google); ggf. E-Mail/Telefon/Name, falls als Kanaltyp verwendet | Zustellung von Push-Nachrichten über Apple/Google/SMTP; Abonnements verwalten; servicebezogene Benachrichtigungen senden |
| HAFAS.mobile HAFAS.engine HAFAS.webapp | Kartendienste | Fahrgast | IP-Adresse, Standort) an Google/Apple übermittelt | Karten, Haltestellen, Routen anzeigen; Geo-Mustererkennung |
| HAFAS.mobile HAFAS.trm | UUID | Fahrgast | Eindeutige Gerätekennung | Ein Gerät über Dienste hinweg identifizieren; kann in anderen Produkten verwendet werden |
| HAFAS.mobile HAFAS.webapp | Analyse mit Matomo | Fahrgast | Die ersten zwei Bytes der IP-Adresse; App-Typ; besuchte Seiten; Sitzungsdauer; Nutzungshäufigkeit | App verbessern; maßgeschneiderte Berichte; automatisierte Warnmeldungen; kontinuierliche Verhaltensverfolgung (datenschutzfreundlich) |
| HAFAS.mobile HAFAS.webapp | Optionale Berechtigungen | Fahrgast | Standort, Kalender, Kontakte (abhängig von der Nutzerzustimmung) | Nur Komfortfunktionen (keine Verarbeitung) |
| HAFAS.realtimehub | Benutzerkonto und Aktivität im Realtime Hub | Betreiber | Benutzername, (optional) Vorname, (optional) Nachname, (optional) E-Mail, (optional) Telefonnummer. Aktivität (was im System wann getan wurde, ggf. IP-Adresse). Technische Protokolle (personenbezogene Informationen wie Fahrernamen könnten Teil der gelieferten Echtzeitinformationen sein, z.B. Siri). Diese Protokolle werden gemäß den mit dem Kunden vereinbarten Fristen gelöscht (von 2 Tagen bis 6 Monaten). | Systemfehlerbehebung und Analyse von Sicherheitsvorfällen. Zugang zum System gewähren. |
| HAFAS.salesplatform | Benutzerkonto (Stamm-)Daten und Fahrtdaten | Fahrgast | UUID, externalId, Benutzername, E-Mail, Vorname, Nachname, Geburtsdatum, Firma, Anrede, Geschlecht, Adresse (Straße, Hausnummer, Postleitzahl, Stadt, Bundesland, Land), Rechnungsadresse, Telefonnummer, Titel, Vorname, Namenszusatz, Geburtsort, Nationalität, Geräte-ID, Fahrtdaten (Startbahnhof, Zielbahnhof, Daten), Berechtigungsmetadaten (Gültigkeit, Reisedaten) | Dienste bereitstellen, personalisieren und warten; Benutzeridentifikation & Betrugsprävention; Kommunikation & Support; Abrechnung & Rechnungsstellung; Einhaltung gesetzlicher/steuerlicher Anforderungen; Buchung, Routing, Fahrpreisberechnung, Streitbeilegung; Konten bei Mobilitätsanbietern verwalten |
| HAFAS.salesplatform | Bestelldaten | Fahrgast | UID, Benutzername, E-Mail(s), Vorname, Nachname, Lieferadresse, Rechnungsadresse, Postleitzahl, Geburtsdatum, Geschlecht, Titel, Anrede, Firma, Telefon, Mobil, Fax, Sprache, Empfänger, Geräte-ID, Kundennummern, Logpay_Kunden-ID, Paypal_Zahler-ID, Zahlungsbeschreibungen, Kontoinhaber, Aussteller-ID, Zahlungsdetails | Bestellungen bearbeiten und liefern; Supportleistungen erbringen; genaue Servicebereitstellung gewährleisten; Steuer-, Betrugsbekämpfungs- und Sicherheitsvorschriften einhalten |
| HAFAS.salesplatform | Daten bezüglich Mobilitätsdienstleister | Fahrgast | Führerscheinnummer, Führerscheinland, Kartengravur-ID, Kartentyp-ID, Karten-PIN-Code, Karten-Chip-ID | MSP-Dienste bereitstellen; MSP-spezifische Anforderungen erfüllen; Protokolle 2 Wochen aufbewahrt, dann gelöscht |
| HAFAS.trm | Freitext-Feedback-Daten | Fahrgast | Speichert keine personenbezogenen Daten. | Sammeln von Nutzer-Feedback zur Verbesserung des Dienstes |
| HAFAS.trm | IP-Adresse | Fahrgast | IP-Adresse des Geräts des Nutzers (temporär gespeichert, dann gelöscht oder anonymisiert) | Bereitstellung von Inhalten ermöglichen, Systemsicherheit gewährleisten, technische Probleme analysieren (Sicherheit & Fehlerbehebung) |
| HAFAS.trm | Aktueller Standort | Fahrgast | GPS-Position des Nutzers | Inhaltsfilterung (nur auf dem Client, nicht gespeichert) |
| HAFAS.webapp HAFAS.engine | E-Mail-Zustellung | Fahrgast | Vom Nutzer angegebene E-Mail-Adresse | Zustellung von System-E-Mails (z.B. Passwort-Resets, Feedback-Formulare) und Nachrichten zum Teilen von Fahrten |