https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_deIn dieser Erklärung informieren wir Sie darüber, welche Daten bei der Nutzung der ForestManager-App erhoben werden. Sie können nachlesen, wie sie verwendet werden und welche Datenschutzrechte Sie haben.
Für ein besseres Verständnis versuchen wir bestmöglich auf technische Darstellungen zu verzichten.

1 Wer ist der Eigentümer der App?

Der Anbieter der App ForstManager – Die WaldApp (nachfolgend „App“ genannt) ist die rBITech GmbH, Franz-Mayer-Straße 1, 93053 Regensburg (nachfolgend „rBITech“ genannt).
Die rBITech ist auch der datenschutzrechtliche Verantwortliche für die Verarbeitung von personenbezogenen Daten der App-Nutzer.
Den Datenschutzbeauftragten der rBITech erreichen Sie entweder unter der oben genannten Adresse oder unter datenschutz@rbitech.de.

2 Wie werden die personenbezogenen Daten verarbeitet?

Die rBITech verarbeitet Ihre personenbezogenen Daten grundsätzlich nur auf Grundlage einer von Ihnen erteilten Einwilligung nach Artikel 6 Absatz 1 Satz 1 (a) und Artikel 9 Absatz 2 (a) der DSGVO. Sie können eine von Ihnen erteilte Einwilligung jederzeit widerrufen. Weitere Informationen zu Ihrem Widerrufsrecht und Hinweise, wie Sie dieses ausüben können, finden Sie unter Ziffer 11.

3 Welche personenbezogenen Daten werden verarbeitet?

Die App erfasst nur Daten zur Synchronisation mit Dritten und zur Standorderfassung während der Appnutzung. Das bedeutet, dass keine Daten erfasst werden, die auf Ihre Identität, Ihren Wohnort schießen oder Daten, die für statistische Analysen verwendet werden können. Zu Nutzung der App und der Synchronisation werden folgende Daten erhoben:

3.1 Zugriffsdaten

Zugriffsdaten fallen an, wenn Sie nachfolgende Funktionen aktivieren:

• die Synchronisation
• die Registrierung einer weiteren Mailadresse
  
• Bestandsdatenerfassung
• SOS-Funktion
  
• Backreporting
• Tracking der Wege und Wendepunkte
  
• Hintergrundlokalisierung für genauere Positionserfassung

Die Daten liegen auf einem in Deutschland stationierten Server. Es werden nur technische Daten, wie Geräteinformationen, Zeitstempel, teilanonymisiert und zufallsgenerierte Nutzer-ID gespeichert.
Zusätzliche werden folgende sonstige Daten verarbeitet:

• Datum und Uhrzeit des Abrufs (Zeitstempel)
  
• Übertragene Datenmenge (Paketlänge)
  
• Meldung über erfolgreichen Abruf
  
• E-Mailadresse
  
• Name
  
• Entfernung und Kennzeichen von Rettungspunkten in der Nähe
  
• Genaue Position
  
• Geräteerkennung

Alle Zugriffsdaten werden ausschließlich zur Aufrechterhaltung der technischen Infrastruktur und zum Austausch von Informationen mit Share-Partnern verarbeitet. Es ist zu keiner Zeit möglich ein Nutzerprofil zu erstellen oder Sie persönlich als Nutzer der App zu identifizieren. Eine Speicherung der IP-Adresse nach Ende der des Nutzungsvorganges erfolgt nicht.
Werden von Ihnen Supportanfragen per Mail versandt, wird diese Nachricht im Kommunikationsportal der rBITech GmbH angelegt und auf einem Server in Deutschland gespeichert. Weitere Informationen zur Datenverarbeitung bei Supportanfragen entnehmen Sie bitte folgendem Link:
datenschutz@rbitech.de.

3.2 Weitergabe von Notrufdaten

Es ist innerhalb der App auf jeder Seite, jederzeit möglich eine Notrufnachricht zu versenden. In dieser Nachricht werden die zuletzt erfassten Standortkoordinaten und die davon nächstgelegenen Rettungspunkte mit Entfernung und Himmelsrichtung übermittelt. Diese Daten werden zu keiner Zeit auf einem Server gespeichert.

3.3 Synchronisation registrieren

Zur Nutzung der Synchronisation ist es erforderlich sich als Person zu registrieren. Dazu werden folgende Daten erhoben:

• Name
  
• E-Mailadresse
  

Zum Aufbau einer dauerhaften Verbindung können Sie den QR-Code vom Synchronisationspartner vor Ort scannen lassen oder einen Einladungslink zusenden. Nach Bestätigung durch den Partner sind seine freigegebenen Daten bei Ihnen sichtbar und ihre erlaubten Daten beim Partner. Diese Verbindung ist jederzeit trennbar. Nach der dauerhaften Trennung er Verbindung, werden alle Daten auf dem Gegengerät endgültig entfernt. Die Nutzung der Synchronisation setzt voraus, dass alle Synchronisationspartner die App nutzen.
Im QR-Code und im Einladungslink sind folgende Daten enthalten:

• Name des Verbindungspartners
  
• Zufallsgenerierte User-ID
  
• IP-Adresse (Cloud-Funktionen speichern IP-Adressen nur vorübergehend, um den Dienst bereitzustellen.)
  

Die Verbindungsdaten werden in Firebase generiert und gespeichert bis die das Nutzerkonto gelöscht wird. Benutzt werden von Firebase Cloud Function und Cloud Massaging.
Die Datenschutzbedingungen von Firebase lesen Sie bitte unter folgendem Link nach:
https://firebase.google.com/support/privacy#data_processing_information

3.4 Datenaustausch durch Synchronisation

Wenn Sie auf Ihrem Nutzergeräte die Funktion zur Synchronisation von Daten mit Dritten aktiviert haben, werden nach der Einladungsbestätigung durch den Synchronisationspartners Datenänderungen und -erweiterungen nur dann Übertragen, wenn Sie die Synchronisation starten. Ein automatischer Datenaustausch findet nicht statt. Es ist jederzeit möglich den Datenaustausch zu beenden oder anzupassen. Es werden folgende Daten übertragen:

• Standortdaten der Notizen und Gebiete
• Hinterlegter Name des Eigentümers
• Datum und Zeitpunkt aller gespeicherten Kommentare
• Kategorie der Notiz
• Verschlüsselte Metadaten (Protokollversion, …)
• Wegen und Wendepunkte
• Drohnenbilder

Die Metadaten werden in einem Protokoll für 14 Tage gespeichert. Die Metadaten sind kein Bestandteil der App, sondern ein integraler Bestandteil des Betriebssystems Ihres Nutzergerätes. Die Metadaten werden daher von Google (Android-Nutzergerätes) bereitgestellt und unterliegen dementsprechend den Datenschutzbestimmungen von Google. Die betriebssystemseitige Datenverarbeitung liegt außerhalb des Einflussbereichs der rBITech.
Weitere Informationen zu Erfassung von Metadaten Ihres Nutzergerätes lesen sie bitte beim Ihrem Nutzergerätehersteller nach.
Die Metadaten werden von der App nur verarbeitet, wenn die Synchronisation aktiviert ist.

3.4.1 Abruf der Daten des Partners

Die App fragt bei dem Serversystem unter Verwendung des hinterlegten Schlüssels die Datenänderungen ab, sobald der Button zur Synchronisation gestartet wurde. Änderungen werden angezeigt und Überschneidungen gekennzeichnet.

3.4.2 Informatorische Nutzung der App

Soweit die App nur zur Nutzung von eigens angelegten Daten genutzt wird, also keine Synchronisation stattfindet, findet die Verarbeitung der Daten ausschließlich lokal auf Ihrem Endgerät statt und es fallen keine personenbezogenen Daten an. In der App verlinkte Webseiten werden im Standard-Browser Ihres Nutzergerätes geöffnet und angezeigt. Welche Daten dabei verarbeitet werden hängt von dem genutzten Browser ab.

4 Welche Berechtigungen und Funktionen benötigt die App?

Die App benötigt Zugriff auf verschiedene Funktionen und Schnittstellen Ihre Nutzergerätes. Dazu ist es erforderlich, dass Sie der App bestimmte Berechtigungen erteilen. Die Berechtigungen sind von den verschiedenen Herstellern unterschiedlich programmiert. Sod können z. B. Einzelberechtigungen zu Berechtigungskategorein zusammengefasst sein, wobei Sie der Berechtigungskategorie nur gesammelt zustimmen können. Bitte beachten Sie, dass Sie im Fall der Ablehnung eines Zugriffs durch die App keine oder nur wenige Funktionen der App nutzen können.

4.1 Technische Voraussetzungen

• • Internet

Die App benötigt für die Synchronisation eine Internetverbindung, um dem Systemserver der kommunizieren zu können.

• • Kamera

Ihr Nutzergeräte benötigt eine Kamera, um damit einen QR-Code im Rahmen der Synchronisation scannen zu können. Auch zur Aufnahme von Bildern bei der Betriebsdatenerfassung wird die Kamera benötigt.

• • Hintergrundbetrieb

Die App nutzt den Hintergrundbetrieb (also, wenn Sie die App nicht gerade aktiv nutzen) zur Aufnahme von Wegen und Ortung der nächstgelegenen Rettungspunkte. Wenn Sie den Hintergrundbetrieb deaktivieren, müssen Sie alle Aktionen in der App selbst starten.

• • Standortermittlung

Die Standortermittlung muss aktiviert sein, um Koordinaten und Rettungspunkte zu lokalisieren. Die Standortdaten werden in den Notizen gespeichert und bei Synchronisation mit übertragen. Durch Löschen der Notizen werden auch die Standortdaten entfernt.
Wird die Hintergrundlokalisierung aktiviert, wird die genaue Position für bis zu 45 Minuten nach der letzten Aktion ermittelt, um ein längeres Warten auf eine genauere GPS-Position zu vermeiden.

• • Benachrichtigungen

Der Nutzer wird lokal über Neuigkeiten und Änderungen der synchronisierten Daten benachrichtigt. Da dafür notwendige Benachrichtigungsfunktion ist im Betriebssystem bereits aktiviert.

5 Wann werden die Daten gelöscht

Alle Daten der App werden gelöscht, sobald sie für die Funktionen der App nicht mehr benötigt werden:

5.1 Synchronisationsdaten

Die in der App geteilten Daten werden beim Synchronisationspartner automatisch gelöscht, sobald Sie den Partner aus der App entfernen. Der gelöschte Partner wird darüber in einer Benachrichtigung informiert.

5.2 Daten in Firebase

Sämtliche Nutzerdaten (ID, Name, Schlüssel) werden unwiderruflich gelöscht, sobald das Konto gelöscht wird. Die rBITech GmbH hat keinen Einfluss auf den Löschvorgang auf Funktionen die von Google bereitgestellt werden. Die Löschung richtet sich nach den Festlegungen von Google. Zurzeit werden die Daten nach 14 Tagen automatisch gelöscht. Zudem können Sie im Rahmen der von Google bereitgestellten Funktionalitäten in den Systemeinstellungen Ihres Gerätes gegebenenfalls eine manuelle Löschung anstoßen. Firebase behält Instanz-IDs bei, bis der Firebase-Kunde einen API-Aufruf zum Löschen der ID ausführt. Nach dem Aufruf werden die Daten innerhalb von 180 Tagen aus Live- und Backup-Systemen entfernt.

5.3 Daten auf Cloud-Servern

Gespeicherte, nutzerbezogene Daten werden nach der Kontolöschung unwiderruflich vom Server entfernt. Haben Sie bei der Registrierung der App eingewilligt, Bestandsdaten anonymisiert für Forschung und Entwicklung bereitzustellen, werden nach Kontolöschung die Daten ohne Nutzerbezug für Analysen standortbezogen weiterverwendet. Diese Zustimmung kann aus technischen Gründen zu einem späteren Zeitpunkt nicht mehr widerrufen werden (§27, §35 BDSG).

6 An wen werden die Daten weitergegeben?

Für die Wartung und der Betrieb der technischen Infrastruktur der App (z. B. Serversysteme, Hotline) ist die rBITech GmbH beauftragt und übernimmt die Auftragsdatenverarbeitung (§28 DSGVO).
Des weiteren gibt die rBITech GmbH personenbezogene Daten, die im Zusammenhang mit der Nutzung der App erhoben werden, nur an Dritte weiter, soweit die rBITech GmbH rechtlich dazu verpflichtet ist oder die Weitergabe im Falle von Angriffen auf die technische Infrastruktur der App zur Rechts- oder Strafverfolgung erforderlich ist. Eine Weitergabe in anderen Fällen erfolgt grundsätzlich nicht.

7 Werden Daten in ein Drittland übermittelt?

Die bei der Nutzung der App anfallenden Daten werden ausschließlich auf Servern in Deutschland oder in einem anderen EU- oder EWR-Mitgliedsstaaten verarbeitet.
Als Kartenanbieter wird Mapbox Inc. mit Sitz in 740 15th St NW, Washington, DC 20005, USA verwendet. Mapbox ist ein Open-Source-Kartentool, dass sich als Datengrundlage Open Street Map bezieht. Für die Kartendarstellung werden folgende Datenkategorien verarbeitet: IP-Adresse, Kartenposition, Geräteinformation, Betriebssystem und Version, Inhalt der
Anfrage, Datum und Uhrzeit der Anfrage, Performancedaten der App. Weiter Informationen zu Mapbox finden Sie den Term of Service unter: https://www.mapbox.com/legal/tos/ sowie in den Datenschutzinformationen unter: https://www.mapbox.com/legal/privacy/.

Die USA werden vom Europäischen Gerichtshof als ein Land mit einem nach EU-Standards unzureichendem Datenschutzniveau eingeschätzt. Es besteht insbesondere das Risiko, dass Ihre Daten durch US-Behörden, zu Kontroll- und Überwachungszwecken, möglicherweise auch ohne Rechtsbehelfsmöglichkeiten, verarbeitet werden können. Um den Schutz der Persönlichkeitsrechte der Nutzer auch im Rahmen dieser Datenübertragungen zu gewährleisten, bedienen wir uns bei der Ausgestaltung der Vertragsverhältnisse mit den Empfängern in Drittländern der Standardvertragsklauseln der EU-Kommission gemäß Art. 46 Abs. 2 und 3 DSGVO. Diese Klausel verpflichtet Mapbox, die von der EU vorgegebenen Datenschutzrichtlinien einzuhalten. Mehr Informationen zur Standardvertragsklausel finden Sie hier: https://commission.europa.eu/publications/standard-contractual-clauses-international-transfers_de

8 Widerruf der Einwilligung

Ihnen steht das Recht zu, die in der App erteilte Einwilligung gegenüber der rBITech GmbH jederzeit mit Wirkung für die Zukunft zu widerrufen. Die Rechtmäßigkeit der Verarbeitung bis zum Widerruf wird dadurch jedoch nicht berührt.
Zum Widerruf Ihrer Einwilligung in der Synchronisation können Sie die Funktion durch entfernen der Partner anstoßen und das Nutzerkonto löschen. Die Nutzer-ID und der zugehörige Key werden in Firebase entfernt. Die rBITech GmbH kann dann hinterlegte Betriebsdaten Ihrem Nutzergeräte nicht mehr zugeordnet werden. Wenn Sie erneut eine Synchronisation einstellen möchten, bedarf es einer erneuten Registrierung und Einwilligung. Bitte beachten Sie, dass die rBITech GmbH keine Möglichkeit hat, übermittelte Zufalls-IDs unmittelbar aus den Endgeräten anderer Nutzer zu löschen.

9 Ihre weiteren Datenschutzrechte

Soweit die rBITech GmbH personenbezogene Daten von Ihnen verarbeitet, stehen Ihnen außerdem folgende Datenschutzrechte zu:

• die Rechte aus den Artikeln 15 – 18, 20, 21 DSGVO
  
• das Recht, sich bei einer zuständigen
  

Aufsichtsbehörde für den Datenschutz zu beschweren. Dazu können Sie sich entweder an die zuständige Aufsichtsbehörde an Ihrem Wohnort oder an die am Sitz der rBITech GmbH zuständigen Behörde wenden. Die zuständige Aufsichtsbehörde für die rBITech GmbH ist das Bayerisches Landesamt für Datenschutzaufsicht (BayLDA), Promenade 27, 91522 Ansbach.

Wir weißen Sie darauf hin, dass die eben genannten Rechte von der rBITech GmbH nur erfüllt werden können, wenn die Daten, auf die sich die Ansprüche beziehen, eindeutig Ihnen als Person zugewiesen werden können. Dies wäre nur möglich, wenn die rBITech GmbH weitere personenbezogene Daten von Ihnen oder Ihrem Endgerät erhebt, die einer eindeutigen Zuordnung zu Ihrer Person oder Ihrem Endgerät erlaubt.

Da dies zur grundlegenden Nutzung der App nicht erforderlich ist (und auch von uns nicht gewünscht), ist die rBITech GmbH zu derlei Datenerhebungen nicht verpflichtet (§ 11 Abs. 2 DSGVO). Des Weiteren wäre es nicht mehr im Rahmen des Anstrebens, so datensparend wie möglich zu arbeiten. Somit werden die oben genannten Artikel nur mit zusätzlichen Informationen zur Person, die der rBITech GmbH nicht vorliegen, erfüllt werden können.
Anders verhält es sich bei der Nutzung der Synchronisation. Da hier personenbezogenen Daten erfasst werden können Sie auf die oben genannten Artikel zurückgreifen.

Stand 23.03.2023