Datenschutz für Fahrgäste.

Verantwortlich für die Verarbeitung personenbezogener Daten von Fahrgästen im Sinne der Datenschutz-Grundverordnung (DSGVO) ist:

quickz GmbH Wampachstraße 10 54295 Trier Deutschland

Amtsgericht Wittlich, HRB 46619 Geschäftsführer: Tom Robin Scholtes USt-IdNr.: DE362789174

Im Folgenden bezeichnen wir uns selbst als „quickz“, „wir“ oder „uns“. Mit „du“ sind Fahrgäste gemeint, die die quickz-App nutzen, um Fahrten zu buchen.

Wir verarbeiten nur Daten, die wir für die Vermittlung deiner Fahrten, die Abwicklung der Zahlung und die Erfüllung unserer gesetzlichen Pflichten brauchen. Konkret:

3.1 Stamm- und Kontaktdaten • Vor- und Nachname • E-Mail-Adresse, Telefonnummer (inkl. Ländervorwahl) • Profilbild (optional, von dir hochgeladen oder mit der Kamera aufgenommen) • Sprache der App • ggf. ein von dir eingegebener Empfehlungs-/Promo-Code

3.2 Konto- und Anmeldedaten • Passwort — ausschließlich als kryptografischer Hash, niemals im Klartext • bei Anmeldung über Apple, Google oder Facebook: die eindeutige Nutzerkennung des jeweiligen Anbieters sowie der von dort übermittelte Name und die E-Mail-Adresse. Bei „Mit Apple anmelden“ kann dies eine anonymisierte Apple-Relay-Adresse sein. • Login-Einmalcodes (OTP), die wir dir per E-Mail (primär) oder per SMS (Fallback) zusenden

3.3 Standortdaten • aktueller Standort deines Geräts, während du die App geöffnet nutzt • Abhol- und Zielort sowie Wegpunkte einer Fahrt • die gefahrene Route (Polylinie) zur Anzeige und Abrechnung

Wir greifen auf den Standort nur im Vordergrund zu („Bei Nutzung der App“) — eine dauerhafte Hintergrund-Standortverfolgung der Fahrgast-App findet nicht statt. Du kannst die Standortfreigabe jederzeit in den Geräteeinstellungen widerrufen; die Buchung per Karten-Antippen oder Adresseingabe bleibt dann möglich.

3.4 Fahrt- und Buchungsdaten • Buchungen (Sofort- und geplante Fahrten), gewählte Fahrzeugklasse • Trip-Status-Übergänge (Suche → Fahrer zugewiesen → Anfahrt → Fahrt aktiv → Beendet) • Fahrtdauer, Strecke, Fahrpreis, Trinkgeld • Stornierungen und No-Show-Vorgänge • Bewertungen und Kommentare, die du dem Fahrer nach der Fahrt gibst

3.5 Zahlungsdaten • gewählte Zahlungsart pro Fahrt (Bar, Kreditkarte, Apple Pay, Google Pay, PayPal oder Guthaben) • bei Kartenzahlung: Die vollständigen Kartendaten werden ausschließlich von unserem Zahlungsdienstleister Stripe verarbeitet und gespeichert. Wir selbst erhalten und speichern nur ein Zahlungs-Token sowie pseudonyme Anzeigedaten (Kartentyp, die letzten vier Ziffern, Ablaufmonat). Vollständige Kartennummern speichern wir nicht. • bei PayPal: eine Vault-Referenz, über die künftige Zahlungen ausgelöst werden • Guthaben-Stand und Buchungen deines quickz-Guthabens (Wallet), Aufladungen sowie Promo-/Bonus-Gutschriften • Vorautorisierungen (Pre-Auth) für geplante Online-Fahrten

3.6 Gespeicherte Adressen Wenn du Adressen als „Zuhause“, „Arbeit“ oder als eigenen Favoriten speicherst, verarbeiten wir das Label, die Adressbezeichnung und die Koordinaten, damit du sie bei der nächsten Buchung schnell auswählen kannst.

3.7 Notfall- und SOS-Daten • von dir hinterlegte Notfallkontakte (Name und E-Mail-Adresse) • bei Auslösung der SOS-Funktion während einer Fahrt: der Versand einer Benachrichtigungs-E-Mail an deine hinterlegten Notfallkontakte sowie die Bereitstellung einer geschützten Tracking-Seite (quickz.eu/track/<Token>), über die deine Kontakte für die Dauer der Fahrt deine aktuelle Position und die Fahrtdaten verfolgen können

Wenn du Notfallkontakte hinterlegst, gibst du personenbezogene Daten Dritter ein. Du sicherst zu, dass du dazu berechtigt bist und die betroffene Person über die Hinterlegung informiert hast.

3.8 Kommunikations- und Chat-Daten • Nachrichten im In-App-Chat zwischen dir und dem Fahrer während einer aktiven Fahrt (technisch bereitgestellt über die Firebase-Echtzeit-Datenbank) • Support-Korrespondenz per E-Mail • Inhalte, die du unserer KI-Telefon-Hotline mitteilst (siehe Abschnitt 12)

3.9 Geräte- und Nutzungsdaten Zur technischen Bereitstellung der App und zur Zustellung von Push-Benachrichtigungen verarbeiten wir:

• APNs- bzw. FCM-Push-Token und Firebase-Installations-ID (geräte-spezifische Token, keine personenbezogenen Hardware-Merkmale) • Betriebssystem-Typ und -Version (iOS / Android) • App-Version • Geräte-Modell (z. B. „iPhone 14 Pro“) • IP-Adresse (technisch zur Sitzung, nicht dauerhaft gespeichert) • Absturz- und Diagnose-Daten (über Sentry, verarbeitet im EU-Rechenzentrum Frankfurt; keine Formulareingaben)

Wir geben deine Daten nur weiter, wenn das für die Vermittlung der Fahrt, die Abwicklung der Zahlung oder die Erfüllung gesetzlicher Pflichten erforderlich ist.

5.1 Fahrer und Beförderer quickz vermittelt deine Fahrt an einen konzessionierten Beförderer (Taxi- oder Mietwagen-Unternehmen) bzw. dessen Fahrer. Während einer vermittelten Fahrt erhält der Fahrer Zugriff auf: deinen Vornamen, dein Profilbild, deinen Abholort und dein Fahrtziel, deine Position auf der Karte sowie eine Telefonnummer für die Kontaktaufnahme. Der Fahrer darf diese Daten ausschließlich zur Durchführung der konkreten Fahrt verwenden.

5.2 Notfallkontakte Nur wenn du die SOS-Funktion auslöst, senden wir eine Benachrichtigung an die von dir hinterlegten Notfallkontakte und stellen ihnen die Tracking-Seite zur Verfügung (siehe Abschnitt 3.7).

5.3 Auftragsverarbeiter Folgende Dienstleister verarbeiten in unserem Auftrag Daten (Art. 28 DSGVO):

Auftragsverarbeiter | Zweck | Sitz | Drittlandtransfer ------------------------------------------+-----------------------------------------------------------------+-------------------+------------------- Contabo GmbH | Hosting der Server (api/history/payment.quickz.eu) | Deutschland | nein Google Ireland Ltd. (Firebase) | Push (FCM), Echtzeit-Datenbank (Chat, Trip-Status), Auth, ID | EU / USA | ja — DPF Google Ireland Ltd. (Maps Platform) | Karten, Routing, Geocoding, Ortssuche | EU / USA | ja — DPF Google Ireland Ltd. (Sign-In) | Anmeldung „Mit Google fortfahren“ | EU / USA | ja — DPF Apple Inc. (APNs / Sign in with Apple) | iOS-Push, Anmeldung „Mit Apple anmelden“ | USA | ja — DPF Meta Platforms Ireland Ltd. | Anmeldung „Mit Facebook fortfahren“ | Irland / USA | ja — DPF Stripe Payments Europe Ltd. | Kartenzahlung, Apple Pay, Google Pay | Irland | nein PayPal (Europe) S.à r.l. | Zahlung per PayPal | Luxemburg | nein Twilio Inc. | SMS-Versand von Login-Einmalcodes (Fallback) | USA | ja — DPF Functional Software, Inc. (Sentry) | Absturz- und Fehlerdiagnose (EU-Rechenzentrum Frankfurt) | EU (USA) | EU-Verarbeitung Invertase Ltd. (Notifee) | lokale Benachrichtigungen | lokal am Gerät | keine pers. Daten

Für Drittlandtransfers in die USA stützen wir uns auf das EU-US Data Privacy Framework (DPF) und/oder die EU-Standardvertragsklauseln.

5.4 Behörden Wir übermitteln Daten an staatliche Stellen, wenn wir gesetzlich dazu verpflichtet sind — insbesondere an Strafverfolgungsbehörden bei richterlicher Anordnung oder zur Abwehr konkreter Gefahren, sowie an die Datenschutz-Aufsichtsbehörde auf Anforderung.

Wir speichern deine Daten so lange, wie es für den jeweiligen Zweck erforderlich ist, mindestens jedoch für die gesetzlichen Aufbewahrungsfristen.

Datenkategorie | Aufbewahrung -------------------------------------+--------------------------------------------------------------------------- Stamm- und Konto-Daten | bis zur Löschung des Kontos, danach Anonymisierung Fahrt- und Zahlungsdaten (Belege) | 10 Jahre nach Geschäftsjahresende (HGB § 257 Abs. 4, AO § 147 Abs. 3) Bewertungen | bis zur Konto-Löschung Chat-Verläufe | bis zum Ende der jeweiligen Fahrt + 90 Tage Standortverlauf in Echtzeit | nicht persistent — nur als Trip-Polylinie nach Abschluss gespeichert Notfallkontakte | bis du sie in der App entfernst oder dein Konto löschst Push-Token | bis zur Abmeldung des Geräts / Konto-Löschung Logs zu sicherheitsrelevanten Vorgängen | 12 Monate Im Falle eines Betrugsverdachts | gesonderte Aufbewahrung bis zur Klärung, max. 10 Jahre

Du hast nach der DSGVO folgende Rechte uns gegenüber:

• Auskunft (Art. 15) — welche Daten von dir verarbeitet werden • Berichtigung (Art. 16) — falsche oder unvollständige Daten korrigieren • Löschung (Art. 17) — siehe Abschnitt 8 • Einschränkung der Verarbeitung (Art. 18) • Datenübertragbarkeit (Art. 20) — Export deiner Daten in einem maschinenlesbaren Format • Widerspruch (Art. 21) gegen Verarbeitungen, die auf berechtigtem Interesse beruhen • Widerruf einer erteilten Einwilligung (Art. 7 Abs. 3) mit Wirkung für die Zukunft • Beschwerde bei der Aufsichtsbehörde (Art. 77)

Anfragen richtest du bitte an [email protected]. Wir antworten innerhalb eines Monats; bei besonders komplexen Anfragen kann sich die Frist um weitere zwei Monate verlängern (Art. 12 Abs. 3 DSGVO).

9.1 Zuständige Aufsichtsbehörde Bei Beschwerden kannst du dich an die für quickz zuständige Datenschutz- Aufsichtsbehörde wenden:

Der Landesbeauftragte für den Datenschutz und die Informationsfreiheit Rheinland-Pfalz (LfDI RLP) Hintere Bleiche 34, 55116 Mainz Telefon: +49 6131 208-2449 E-Mail: [email protected] Web: https://www.datenschutz.rlp.de

Wenn du Daten Dritter eingibst — etwa Notfallkontakte oder eine abweichende Pickup-Adresse für eine andere Person — verarbeitest du diese Daten in eigener Verantwortung. Du sicherst zu, dass du zur Weitergabe berechtigt bist. Wir verarbeiten diese Daten ausschließlich für den jeweiligen Zweck (z. B. SOS-Benachrichtigung) und nicht darüber hinaus.

Wir setzen technische und organisatorische Maßnahmen ein, um deine Daten gegen unbefugten Zugriff, Verlust und Manipulation zu schützen — unter anderem Transport-Verschlüsselung (TLS 1.3), Zugangs- und Berechtigungs-Konzepte für unsere Server, getrennte Verarbeitungs-Umgebungen für Produktion und Entwicklung sowie regelmäßige Backups. Anmeldedaten werden auf dem Gerät in der sicheren Schlüsselverwaltung des Betriebssystems (iOS Keychain / Android Keystore) abgelegt.