Datenschutzerklärung

1) Verarbeitete personenbezogene Daten

• Website- und Einwilligungsdaten: IP-Adresse, Browser/Gerät, Zeitstempel, Sprache, cookie_consent-Auswahl und Analytics-Kennungen nur, wenn Analytics konfiguriert und akzeptiert ist.
• Kundendaten: Vorname, Nachname, E-Mail, Telefon, Adresse, Sprache, Passwort-Hash, Konto-/Sitzungskennungen und Google- oder Apple-OAuth-Kennungen, falls genutzt.
• Buchungs- und Fahrgastdaten: Abhol- und Zieladressen, Route, Daten, Zeiten, Flugnummer, Passagierzahl, Gepäck, Fahrzeug, Kindersitz-/Haustierwünsche, Buchungsreferenzen, Notizen und Sonderwünsche.
• Zahlung, Erstattung und Rechnung: Betrag, Währung, Zahlungsstatus, Anbieterreferenzen, Erstattungen/Streitfälle, Rechnungen sowie Steuer-/Buchhaltungsdaten. Vollständige Kartennummern oder CVV speichern wir nicht.
• Support und Kontakt: Nachrichten, Kontaktdaten und Dateien oder Screenshots, die Sie uns senden.
• Partner-Onboarding: Unternehmens- und Kontaktdaten, USt./VIES-Prüfung, Bestätigung der Vertretungsberechtigung, Bestätigung von Service-/Onboarding-E-Mails, Dokumente, Fahrzeugdaten/Fotos, IBAN/Auszahlung, Servicegebiete und Bewerbungsstatus.
• Disposition, Nachweis und Administration: zugewiesener Partner/Fahrer, operative Status, Nachweisereignisse, Zeitstempel, Admin-Aktionen, Sicherheits- und Diagnoseprotokolle.

2) Zwecke und Rechtsgrundlagen

• Buchungen, Konto, Fahrgastkoordination, Zahlung und Rechnungen: Vertragserfüllung oder vorvertragliche Maßnahmen (Art. 6(1)(b) DSGVO).
• Buchhaltung, Steuern, Zahlung, Erstattung und gesetzliche Aufbewahrung: rechtliche Pflicht (Art. 6(1)(c)).
• Betrugsprävention, Sicherheit, Dispositionsqualität, Support, Streitfälle, Serviceverbesserung und begrenzte Protokollierung: berechtigte Interessen (Art. 6(1)(f)).
• Partner-Onboarding, Dokumentenprüfung, Auszahlungsdaten und Eignungsprüfungen: Vertrag/vorvertragliche Maßnahmen, rechtliche Pflichten und berechtigte Interessen je nach Datensatz.
• Analytics-Cookies und Google Analytics, falls konfiguriert: Einwilligung (Art. 6(1)(a)); Analytics bleibt blockiert, bis Analytics-Einwilligung erteilt wurde.
• Werbe- oder Angebots-E-Mails: nur mit separatem Opt-in, falls solches Marketing umgesetzt wird. Transaktionale Konto- und Buchungs-E-Mails sind kein Marketing.
• Besondere Kategorien personenbezogener Daten werden nicht angefordert. Wenn Sie sensible Details freiwillig in Notizen oder Nachrichten angeben, verarbeiten wir nur, was für Transfer, Support, Rechtsanspruch oder Sicherheit erforderlich ist.

3) Empfänger und Dienstleister

• Zugewiesene Partner, Betreiber oder Fahrer erhalten die für die Fahrt erforderlichen Buchungsdaten.
• Zahlungsanbieter: Stripe und myPOS für Online-Zahlungen und Erstattungen, soweit genutzt.
• E-Mail und Postfächer: Brevo für transaktionale E-Mails und Google Workspace für Geschäftspostfächer.
• Karten und Routen: Google Maps Platform für Adresssuche, Karten und Routenunterstützung.
• Analytics: Google Analytics kann bereinigte Seiteninformationen erhalten, nur wenn es konfiguriert und über Cookie-Einstellungen akzeptiert ist.
• Speicher und Infrastruktur: Cloudflare-R2-kompatibler Code wird für Partner-Uploads genutzt; PostgreSQL ist die Datenbanktechnologie; Hosting scheint wahrscheinlich Vercel zu verwenden. Produktionsanbieter, Region und Dashboard-Einstellungen müssen in den jeweiligen Konten geprüft werden.
• Authentifizierung und Prüfungen: Google OAuth, Apple OAuth und EU VIES können je nach Fall genutzt werden.
• Berater, Behörden, Banken, Kartennetzwerke oder Gerichte können Daten erhalten, soweit dies für Buchhaltung, Rechtsansprüche, Compliance, Betrugsprävention oder Streitfälle erforderlich ist.

4) Internationale Übermittlungen und Regionen

Verarbeitungsorte können von Produktionskonfiguration, Anbieter-Dashboards und Subprozessor-Infrastruktur abhängen. Diese Seite nennt keine Hosting-, Datenbank-, Speicher-, Analytics- oder Backup-Region als bestätigt, solange sie nicht verifiziert wurde.

Wenn ein Anbieter oder Subprozessor Zugriff von außerhalb des EWR umfasst, müssen ein anwendbarer rechtmäßiger Transfermechanismus und eine Vertragsprüfung vorhanden sein, bevor dieser Anbieter für Produktionsverarbeitung genutzt wird. Aktuelle Anbieter- und Transferinformationen erhalten Sie über privacy@oddotransfer.com.

5) Aufbewahrung

• Rechnungen, Buchhaltung, Zahlungen und Erstattungen: 10 Jahre.
• Buchungen mit Zahlung, Rechnung, Erstattung, Streitfall oder Buchhaltungsbezug: bis zu 10 Jahre.
• Operative Fahrtnotizen, Fahrernotizen und Sonderwünsche: normalerweise 3 Jahre, außer bei Streitfall, Rechtsanspruch, Buchhaltung oder Sicherheit.
• Kundenkonto: aktives Konto plus 3 Jahre Inaktivität, sofern keine längere gesetzliche/Buchhaltungsfrist gilt.
• Support-Nachrichten: normalerweise 24-36 Monate nach Fallschluss.
• Abgelehnte Partnerbewerbungen: normalerweise 12 Monate, außer bei Betrug, Streitfall oder rechtlichem Grund.
• Genehmigte Partnerdaten und Dokumente: Dauer der Partnerbeziehung plus erforderliche gesetzliche/Buchhaltungsfrist.
• Sicherheitsprotokolle: normalerweise 30-90 Tage; länger nur bei Vorfall, Betrug, Streitfall oder rechtlichem Grund.
• Google Analytics: gemäß der konfigurierten Google-Analytics-Aufbewahrung, die im GA-Dashboard zu prüfen ist, wenn GA aktiviert ist.
• Cookie-Einwilligung: etwa 6 Monate.

6) Ihre DSGVO-Rechte und Anfragen

• Sie können Auskunft, Berichtigung, Löschung, Einschränkung, Datenübertragbarkeit, Widerspruch und Widerruf der Einwilligung verlangen, soweit anwendbar.
• Senden Sie Anfragen an privacy@oddotransfer.com. Wir können Ihre Identität prüfen und ausreichende Angaben zur Auffindung der Datensätze verlangen.
• Das aktuelle System bietet keinen bestätigten Self-Service für Kontoexport oder -löschung. Anfragen werden bei Bedarf manuell über interne Systeme bearbeitet.
• Löschanfragen entfernen nicht zwingend Rechnungen, Buchhaltung, Zahlungen, Erstattungen, Betrugs-, Streit- oder Rechtsunterlagen, die aufbewahrt werden müssen. Dann wird die Verarbeitung auf den erforderlichen Zweck beschränkt.
• Sie können Beschwerde bei der CNPD Luxembourg einlegen, wenn Sie der Ansicht sind, dass Ihre Datenschutzrechte verletzt wurden.

7) Cookies, lokaler Speicher, Karten und Analytics

• Essenzielle Cookies und Speicher unterstützen Sitzungen, Sprache, Buchungsstatus, Zahlungsablauf, Sicherheit und Kernfunktionen.
• Das cookie_consent-Cookie speichert Ihre Auswahl etwa 6 Monate und kann über Cookie-Einstellungen in der Fußzeile geändert werden.
• Google Analytics wird erst nach Analytics-Einwilligung geladen. Vor dem Senden eines Pageviews werden URL-Parameter entfernt und tokenisierte Pfade maskiert.
• Bei Widerruf der Analytics-Einwilligung lädt die Seite Google Analytics bei künftigen Seitenaufrufen nicht mehr und löscht bekannte _ga-Cookies, soweit möglich.
• Google Maps ist Teil der Buchungs-/Adressfunktion und kann Karten-/Adressanfragen nach eigenen Bedingungen verarbeiten.

8) Marketing, Prämien und Datenminimierung

• Prämien können im Kundenkonto oder Dashboard sichtbar sein.
• Werbe- oder Angebots-E-Mails erfordern ein separates Opt-in, falls sie umgesetzt werden. Willkommens-/Konto-E-Mails sind transaktional und dürfen ohne solches Opt-in keine Werbeangebote enthalten.
• ODDO TRANSFER erhebt im aktuellen Kundenprofil kein Geschlechtsfeld.
• Bitte geben Sie keine unnötigen sensiblen Informationen wie Gesundheit, Religion, Ausweisdokumente oder andere besondere Kategorien in Freitextfeldern an, außer dies ist für den Transfer strikt erforderlich.

9) Sicherheit

Wir setzen dem Risiko angemessene technische und organisatorische Maßnahmen ein, u. a. Zugriffskontrollen, Authentifizierungs-/Sitzungskontrollen, HTTPS, begrenzten operativen Zugriff, Sicherheits-/Diagnoseprotokolle sowie Admin-Kontrollen für Partnerdokumente und Zahlungs-/Erstattungsabläufe.

Einige operative Schutzmaßnahmen wie Speicherregion, Lifecycle-Regeln, Backups und Anbieter-Sicherheitseinstellungen werden in Anbieter-Dashboards verwaltet und sollten vor formaler Vendor-Due-Diligence geprüft werden.

10) Aktualisierungen

Wir können diese Datenschutzerklärung aktualisieren, wenn sich Dienst, Anbieter, Rechtslage oder interne Prozesse ändern. Die aktuelle Fassung ist auf dieser Seite verfügbar.